Le fabricant chinois de smartphones OnePlus a récemment annoncé que jusqu’à 40 ;000 de ses clients seraient concernés par une violation de sécurité qui a affecté sa boutique en ligne et entrainé la suspension des paiements par carte de crédit sur sa plateforme d’achat en ligne.Cette annonce fait suite aux plaintes exprimées par plusieurs clients de la marque sur son forum. Ces plaintes faisaient état du vol des informations de cartes bancaires, celles qui avaient été précisément utilisées pour effectuer des achats sur le site de OnePlus, et de transactions bancaires frauduleuses dont certains auraient été victimes par la suite.
Les investigations menées par une agence de sécurité mandatée par l’entreprise chinoise ont permis de confirmer que les informations bancaires de plusieurs clients ont été dérobées au moment où ces derniers achetaient des produits sur le site. Elles rejoignent les premières hypothèses qui avaient été avancées par les chercheurs en cybersécurité de l’entreprise Fidus. Ceux-ci pointaient du doigt une faille de sécurité dans le processus de commande du site de la firme.
Il faut signaler que la compagnie utilise Magento sur sa plateforme d’achat en ligne. Lorsqu’une transaction est effectuée, plutôt que de rediriger l’acheteur vers le site d’un établissement bancaire, la page est hébergée directement sur le site du constructeur. Les données sont par la suite transmises à l’établissement financier et ce serait à ce moment précis que les attaquants peuvent voler les informations des cartes bancaires, juste avant que la procédure de chiffrement ne soit lancée.
OnePlus a précisé que le script malveillant à l’origine de cet incident de sécurité fonctionnait « ;par intermittence ;» sur l’un de ses serveurs de traitement des paiements depuis la mi-novembre 2017. Le script était capable de capturer directement les informations complètes de la carte de crédit, incluant la date d’expiration, le numéro de la carte ainsi que le code de sécurité, à partir de la fenêtre du navigateur d’un client. Le serveur infecté aurait depuis été mis en quarantaine.
En outre, la société affirme avoir réussi à déterminer d’où venait la faille de sécurité et trouver le point d’entrée de l’attaquant. Mais elle chercherait encore à établir si le piratage s’est déroulé à distance ou s’il a nécessité un accès physique au serveur. Elle a également indiqué que les clients qui ont fait des achats sur son site avec une carte de crédit enregistrée, une carte de crédit traitée via PayPal ou avec un compte PayPal ne devraient pas être inquiétés par cet incident.
Les paiements par carte de crédit resteront suspendus sur OnePlus.net jusqu’à ce que l’enquête soit terminée et le groupe serait en train de mettre en place une méthode de paiement par carte de crédit plus sécurisée avant de réactiver ce mode de paiement. Entretemps, il reste possible d’utiliser PayPal pour acheter des articles sur le site du fabricant de smartphones.
Un porte-parole de l’entreprise a confirmé que cet incident ne changerait rien à la stratégie de vente en ligne de l’entreprise et que OnePlus n’envisageait pas pour le moment de déplacer sa boutique en ligne vers des plateformes spécialisées dans le commerce en ligne comme Amazon pour écouler ses produits.
La société a décidé d’offrir à ses clients affectés par cet incident de sécurité un service de surveillance de crédit gratuit pendant un an qui les alertera aussitôt qu’une activité anormale ou potentiellement frauduleuse est observée sur leurs cartes de crédit.
Source : One Plus Forum, Fidus information security
Et vous ?
Qu’en pensez-vous ?Voir aussi
Les smartphones OnePlus cachent une appli pouvant servir de porte dérobée pour obtenir l'accès Root : l'entreprise chinoise et Qualcomm s'expliquent OnePlus a promis de collecter moins de données de ses utilisateurs d'ici novembre 2017 suite à la polémique suscitée la semaine dernière