Le spécialiste de la cybersécurité Matthieu Faou a été le premier a découvrir un piratage de grande ampleur qui toucherait pas moins de 688 000 sites à travers le monde. Samedi dernier, des pirates informatiques sont parvenus à modifier le script de suivi de l’outil du trafic web StatCounter – une alternative réputée à Google Analytics.
Les webmasters qui utilisent ce script de suivi les performances de leur site web n’ont rien remarqué. Et pourtant, les hackers ont injecté un bout de code supplémentaire dans le script qui leur permet de modifier dans certains cas des transactions initiées en Bitcoin.
Gate.io visé par le piratage
En l’occurrence, c’est la plateforme d’échange de crypto-monnaies Gate.io (qui utilisait le script de StatCounter) qui a été la cible principale de l’attaque. Le code visible dans l’image ci-dessous s’activait uniquement si la page web visitée par l’utilisateur contenait l’extrait “myaccount/withdraw/BTC” dans l’URL. Sur Gate.io, cette page permet précisément de faire des virements vers une adresse Bitcoin externe.
C’est à ce moment là que s’activait le script qui modifiait l’adresse Bitcoin du destinataire pour la remplacer par celle des pirates. Les hackers ont été malins puisqu’ils ont généré systématiquement une nouvelle adresse Bitcoin de destination à chaque activation du script, leur permettant ainsi de brouiller les pistes un maximum. A l’heure actuelle, l’adresse principale des hackers n’a donc pas encore été retrouvée, et le montant dérobé n’est pas non plus connu.
Gate.io a supprimé le script malicieux
Si StatCounter n’a toujours pas mis à jour son script, Gate.io a rapidement supprimé ce dernier pour éviter tout risque pour ses clients. Pour autant, la plateforme d’échange de crypto-monnaies n’a pas non plus souhaité communiquer sur le sujet. Reste maintenant à voir si (et combien) des clients ont été escroqués dans cette piratage et comment se passera la compensation. Gate.io est actuellement la 39ème plateforme qui enregistre le plus de volumes selon CoinMarketCap.
Dans sa publication, Matthieu Faou avertit : “cet incident est une autre preuve que les codes JavaScript externes sont contrôlés par des parties tierces et qu’ils peuvent être modifiés à tout moment sans avertissement préalable”. Mieux vaut donc limiter leur utilisation dans le cas de services sensibles, à commencer par les plateformes où transitent des crypto-monnaies…
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
Pourquoi dire “s’attaque à un concurrent de Google Analytics” je vois pas le rapport avec le sujet ? c’est comme dire “un cambrioleur s’attaque à une banque concurrente de LCL” au lieu de citer directement la BNP par exemple.