Pourquoi les leçons de la violation de données de British Airways sont plus opportunes que jamais

Les attaques de la chaîne logistique des navigateurs (où des scripts tiers exécutés dans les navigateurs Web des utilisateurs finaux sont injectés d'exploits malveillants) restent une menace sous-estimée et sous-sécurisée, même si leur prévalence continue de s'accélérer. Le récit édifiant de la violation de données de British Airways a été le premier à montrer à quel point ces attaques côté navigateur peuvent être dévastatrices. Les compagnies aériennes restent une cible privilégiée, EasyJet et Air Europa subissant des types d’attaques similaires. Mais ils ne sont pas seuls. Plus récemment encore, le géant de l'assurance Kaiser Permanente a annoncé publiquement une violation de données , provenant de scripts de navigateur tiers, qui a affecté des millions d'assureurs actuels et anciens.

Se protéger contre ce vecteur de menace est plus urgent que jamais pour les ingénieurs, et les organisations qui ignorent le risque de violation de la chaîne d'approvisionnement des navigateurs le font à leurs risques et périls. Voici pourquoi l'incident de British Airways est toujours aussi pertinent pour la stratégie de cybersécurité des entreprises et ce qui peut être fait pour se protéger contre des menaces similaires.

Les attaquants ont exploité les failles de sécurité

Dans la violation de British Airways, tout client ayant saisi les informations de crédit de sa voiture pour effectuer un achat sur le site officiel de British Airways a vu ces données sensibles copiées et envoyées à un domaine contrôlé par un attaquant par un script malveillant côté navigateur. Au moment où la compagnie aérienne a finalement remarqué cette menace difficile à détecter, les données personnelles de plus de 400 000 clients ont été exposées, ce qui a entraîné une amende record de plus de 183 millions de livres sterling par les régulateurs du Bureau du commissaire à l'information (ICO) du Royaume-Uni.

Les origines de l'incident ont été attribuées à une première incursion au cours de laquelle des attaquants se sont connectés aux systèmes de British Airways en utilisant les informations d'identification volées d'un employé du fournisseur de services de fret Swissport. Ce compte manquait de protection par authentification multifacteur, permettant aux attaquants de se connecter à un environnement d'accès à distance Citrix et d'étendre leur accès au-delà des restrictions destinées à limiter les utilisateurs distants aux zones sûres du réseau.

Les attaquants ont ensuite introduit des outils pour sonder l'ensemble du réseau à la recherche de vulnérabilités supplémentaires ; ils ont rapidement découvert un fichier texte brut non crypté contenant les informations de connexion d'un administrateur de domaine. Cela a donné aux attaquants une porte ouverte pour accéder aux ordinateurs et aux serveurs du domaine, modifier les paramètres de configuration et manipuler les ressources du réseau. Ils ont commencé à se connecter aux serveurs, ont découvert les identifiants de connexion d'un administrateur de base de données le lendemain et ont continué à explorer patiemment les données disponibles à leur guise.

Les attaquants ont trouvé des fichiers journaux contenant les détails de 108 000 cartes de paiement , toutes stockées en texte brut . Résultat d'une fonctionnalité de test laissée accidentellement activée, ces données n'étaient jamais censées être stockées, et certainement pas laissées totalement non sécurisées. Les attaquants ont alors découvert un fichier contenant le code du site de British Airways, leur donnant ainsi toutes les opportunités nécessaires pour préparer leur attaque sur la supply chain du navigateur.

Comprendre l'anatomie d'une attaque de chaîne d'approvisionnement de navigateur

Au cœur de leur stratégie, les attaquants ont acheté baways dot com, un nom de domaine disponible facilement interprété à tort comme une adresse Web officielle appartenant à l'entreprise. Alors que le domaine utilisait un fournisseur d'hébergement lituanien et était hébergé hors de Roumanie, British Airways ne disposait pas d'une surveillance capable d'alerter le personnel de sécurité que quelque chose n'allait pas.

Le développement de sites Web modernes utilise de nombreux scripts provenant de sources tierces pour offrir l'interactivité et les fonctionnalités avancées attendues par les utilisateurs. Des exemples de fonctionnalités optimisées par des scripts tiers incluent tout, des chatbots aux outils de marketing et d'analyse en passant par les mesures de sécurité telles que les captchas. Mais ces scripts sont particulièrement difficiles à surveiller et à sécuriser pour les entreprises, car ils sont le plus souvent hébergés et gérés en externe. Une simple vulnérabilité ou erreur de la part d'un fournisseur tiers peut entraîner un incident de sécurité. Dans les scénarios où ces fournisseurs ne disposent pas de l'expertise nécessaire pour fournir du code sécurisé, ou lorsque des changements commerciaux et personnels conduisent à des scripts non maintenus et non surveillés, les risques peuvent devenir extrêmes.

Au moment de la violation, le site Web de British Airways chargeait environ 20 scripts tiers (30 en incluant la page de réservation). Les navigateurs des visiteurs du site ont reçu des demandes du site pour obtenir et exécuter du code provenant de sources externes. Il s'agit d'une pratique courante et les navigateurs ne sont pas conçus pour juger si les scripts ou les points de terminaison auxquels ils envoient des données sont légitimes. Les attaquants ont injecté du code malveillant dans la bibliothèque JavaScript Modernizr, un script courant qui permet de détecter les fonctionnalités du navigateur pour optimiser les expériences. Cette version compromise du script, diffusée par le serveur Web de British Airways, envoyait une copie de toutes les données soumises par le client au site de l'attaquant.

C'est ainsi que, pendant environ trois semaines, toutes les informations de carte de paiement saisies sur le site Internet de British Airways ont été écrémées par des attaquants. Les clients n’en étaient alors absolument pas conscients, même si c’était leur propre navigateur qui envoyait leurs informations sensibles. Les attaquants ont été intelligents pour préserver l’expérience Web normale et la latence, rendant ainsi leur vol de données transparent pour les utilisateurs et le personnel de sécurité pendant des semaines.

Lorsqu'un tiers a finalement reconnu et informé British Airways de la violation quelques semaines plus tard, la compagnie a tout fait correctement. En moins de deux heures, l’équipe de sécurité a neutralisé le code malveillant et bloqué le faux site Internet. Les clients, les banques traitant les paiements et l’ICO ont été rapidement informés. Mais le mal était fait. La réputation de la compagnie aérienne en a pris un coup, une sanction réglementaire record a suivi et des recours collectifs ont ensuite été réglés à l'amiable. Bien que la sanction ait ensuite été réduite à la lumière de la responsabilisation rapide de l'entreprise (et en association avec les secours en cas de pandémie), il s'agissait d'un épisode que tout le monde aurait hâte d'éviter.

Un signe avant-coureur de menaces à venir

Pour être clair, il est difficile de trouver à redire à la sécurité de British Airways dans cet incident : les outils nécessaires pour détecter de manière fiable les attaques de la chaîne d'approvisionnement des navigateurs avec des charges utiles malveillantes transmises via des scripts tiers n'étaient tout simplement pas disponibles à l'époque. Dans le même temps, des événements ultérieurs comme l’ attaque Magecart (impactant 17 000 sites) ont démontré que les pirates ont découvert une vulnérabilité qui leur plaisait. Même aujourd’hui, les mesures de sécurité de la plupart des organisations manquent de visibilité sur ces attaques. Alors que les protections générales en matière de sécurité informatique font désormais l'objet d'une attention sans précédent, la menace croissante d'attaques sur la chaîne d'approvisionnement des navigateurs reste largement sous-sécurisée ou ne répond qu'à des exigences de conformité minimales.

Cependant, des capacités de sécurité existent désormais pour fournir aux équipes des défenses robustes contre ces attaques. La capacité de surveiller et de contrôler en permanence le contenu des scripts tiers, en tirant parti de stratégies conçues pour supprimer instantanément les scripts malveillants, est essentielle pour une sécurité efficace de la chaîne d'approvisionnement des navigateurs. Compte tenu de la nature dynamique de ces attaques, un examen ou une surveillance ponctuelle qui vérifie uniquement la source des scripts n’est tout simplement pas suffisant. Cela dit, les équipes doivent choisir les sources tierces les plus sûres possibles, tout en vérifiant continuellement cette confiance. Les équipes doivent également adopter une bonne hygiène de sécurité et renforcer leurs environnements en supprimant activement les services et les scripts de toutes les pages où ils ne sont pas nécessaires, en particulier sur les pages sensibles telles que les portails de paiement.

Une exigence sécuritaire urgente

Alors que les sites Web utilisent de plus en plus de scripts tiers pour offrir des expériences modernisées aux navigateurs des utilisateurs, les attaquants ne feront que découvrir davantage d'opportunités. Les équipes peuvent tirer les leçons d’attaques comme celle qui a frappé British Airways et prendre des mesures pour sécuriser pleinement les chaînes d’approvisionnement de leurs navigateurs dès maintenant, ou les apprendre à leurs dépens.