Une révision majeure de la norme PCI DSS de l’industrie des cartes de paiement comprend des mesures conçues pour encourager les fournisseurs de commerce électronique à mettre en place de meilleures défenses contre les attaques d’écrémage de cartes basées sur JavaScript.

La quatrième révision récemment publiée de la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS v4.0) – qui définit les exigences de base pour les organisations qui traitent les données de paiement ou de carte de crédit – a été renforcée pour faire monter les enchères dans la lutte contre les soi-disant Attaques de type Magecart, entre autres améliorations.

Emma Sutcliffe, responsable des normes SVP du Conseil des normes de sécurité PCI (PCI SSC), a déclaré La gorgée quotidienne: « PCI DSS v4.0 inclut deux nouvelles exigences visant à aider à prévenir et à détecter l’écrémage numérique dans les environnements de commerce électronique. La première nouvelle exigence porte sur la gestion des scripts des pages de paiement qui sont chargés et exécutés dans le navigateur du consommateur.

« La deuxième nouvelle exigence en matière de commerce électronique implique un mécanisme de détection des changements ou des indicateurs d’activité malveillante sur les pages de paiement. Ces exigences contribuent à atténuer les risques introduits par la nature hautement dynamique des pages Web, où le contenu est fréquemment mis à jour à partir de plusieurs emplacements Internet.

Vitrines numériques

Les logiciels malveillants d’écrémage de cartes de crédit basés sur le Web sont devenus une menace croissante pour les boutiques de commerce électronique.

Cette menace ne montre aucun signe d’affaiblissement de sitôt et, pire encore, les fournisseurs de sécurité à l’avant-garde de la recherche sur la menace découvrent des preuves possibles d’une plus grande collaboration entre les groupes.

Les révisions de PCI DSS v4.0 pour mieux se défendre contre les attaques de type Magecart ont été bien accueillies par le consultant en sécurité Web Scott Helme dans un récent article de blog technique.

Adam Hunt, CTO chez RiskIQ, a déclaré La gorgée quotidienne: « Alors que les chercheurs en sécurité éclairent de plus en plus le monde de Magecart et que les normes PCI SSC continuent d’évoluer, nous constatons que ce vaste monde souterrain des écumeurs de cartes est de plus en plus entrelacé et connecté.

« En établissant ces parallèles entre différentes attaques, écrémeurs et autres infrastructures, beaucoup de choses sont devenues plus transparentes – comme quels groupes sont responsables, comment ils ciblent leurs victimes et comment leurs outils évoluent. Ce sont ces signifiants que les entreprises devraient rechercher.

Les dernières attaques impliquent parfois un cocktail de menaces mixtes.

Hunt a expliqué: «Dans de nombreux compromis récents de Magecart, nous avons constaté des chevauchements croissants dans l’infrastructure utilisée pour héberger différents skimmers qui semblent être déployés par des groupes indépendants qui utilisent diverses techniques et structures de code. On observe également de nouvelles variantes de skimmers réutilisant du code vu par le passé.

«Cette infrastructure qui se chevauche pourrait inclure un fournisseur d’hébergement utilisé par plusieurs domaines d’écrémage chargeant plusieurs écumeurs non liés – l’écumoire Inter et différentes versions de Grelos, par exemple. Nous avons même observé des domaines chargeant différents skimmers à partir de la même adresse IP. »

Filtrer l’hameçonnage

PCI DSS v4.0 (PDF) est la première révision majeure de la norme la plus importante de l’industrie des cartes de paiement au cours des huit dernières années. Parallèlement aux mesures visant à lutter contre Magecart, PCI DSS v4.0 deux nouvelles exigences pour aider à lutter contre les attaques de phishing.

Sutcliffe de PCI SSC a expliqué : Ceux-ci incluent l’utilisation de processus et de mécanismes automatisés pour détecter et protéger le personnel contre les attaques de phishing et l’intégration du phishing et de l’ingénierie sociale dans la formation de sensibilisation à la sécurité.

Sutcliffe a conclu : « Un autre objectif de PCI DSS v4.0 est de fournir une flexibilité accrue aux organisations qui utilisent des méthodes nouvelles et innovantes pour atteindre leurs objectifs de sécurité. Les exigences mises à jour et la flexibilité intégrée à PCI DSS v4.0 sont soutenues par des conseils supplémentaires tout au long de la norme pour aider les organisations à sécuriser les données de paiement maintenant et à l’avenir.