Skip to content
Chaîne d’approvisionnementRésolu

Vol de données de cartes Magecart chez British Airways

Les opérateurs de Magecart ont injecté un JavaScript de vol de données de cartes dans la page de paiement de British Airways, dérobant les détails de cartes sur 380 000 transactions en 15 jours. L'ICO britannique a d'abord proposé une amende RGPD de 183,4 M£ — ramenée ensuite à 20 M£ après des arguments d'atténuation liés à l'impact du Covid.

Victime
British Airways
Perte
$35.0M
données
429.0K
utilisateurs
429.0K

Le 6 septembre 2018, British Airways a divulgué publiquement que des opérateurs de vol de données de cartes Magecart avaient capturé des données de cartes de paiement sur environ 380 000 transactions de clients sur une fenêtre de 15 jours. Le JavaScript malveillant avait été injecté dans un script tiers que BA chargeait sur sa page de paiement — un cas d'école de la technique de chaîne d'approvisionnement Magecart qui a désormais touché des centaines d'acteurs du e-commerce dans le monde.

Cette affaire a pris de l'importance en raison de la proposition initiale de l'ICO britannique d'une amende de 183,4 millions de livres au titre du RGPD — à l'époque la plus importante sanction européenne en matière de protection des données jamais proposée — bien que la sanction finale ait été ramenée à 20 millions de livres dans un contexte d'arguments d'atténuation liés au COVID-19.

Ce qui s'est passé

Les pages de paiement de British Airways chargeaient un fichier JavaScript appelé Modernizr depuis un CDN tiers. Aux alentours du 21 août 2018, les opérateurs de Magecart ont compromis le script tiers et injecté environ 22 lignes de JavaScript malveillant qui :

  • Capturaient les données de carte, dates d'expiration, CVV et noms des titulaires saisis dans le formulaire de paiement de BA.
  • Exfiltraient les données capturées vers un domaine typosquatté contrôlé par l'attaquant (baways.com — visuellement proche de ba.com).
  • Ne s'activaient que sur la page de paiement, laissant les autres pages de BA intactes et réduisant le signal de détection.

Le même script compromis était chargé par l'application mobile de BA, étendant le vol de données aux transactions mobiles également.

Le vol de données de cartes a duré 15 jours avant que British Airways ne le détecte lors d'un examen de sécurité de routine et ne retire le script malveillant. À ce moment-là, environ 380 000 transactions avaient été capturées. BA a ensuite révisé son périmètre pour inclure 429 000 clients uniques dont les données de carte avaient été exposées.

Le modèle Magecart

L'opération contre British Airways a été l'un des exemples les plus médiatisés de la technique Magecart — la compromission de la chaîne d'approvisionnement de bibliothèques JavaScript tierces chargées par de grands acteurs du e-commerce. La même technique a touché :

  • Ticketmaster UK (juin 2018) via un script de widget de chat compromis
  • Newegg (septembre 2018) via une compromission directe du site
  • Macy's (octobre 2019)
  • British Airways (cet incident)
  • Des centaines d'acteurs du e-commerce plus petits

L'écosystème Magecart englobe plusieurs groupes criminels distincts (désignés Magecart Group 1 à Group ~12 par RiskIQ) partageant des boîtes à outils et des tactiques communes. L'opération contre British Airways a été attribuée à Magecart Group 6 sur la base des signatures de la boîte à outils.

Sanction de l'ICO et réduction

En juillet 2019, l'Information Commissioner's Office britannique a annoncé son intention d'infliger à British Airways une amende de 183,4 millions de livres au titre du RGPD — soit environ 1,5 % du chiffre d'affaires mondial de BA en 2017, et à l'époque la plus importante sanction RGPD proposée par un régulateur de l'UE.

Cette proposition était politiquement significative car elle démontrait l'intention de l'ICO d'utiliser les sanctions phares du RGPD (jusqu'à 4 % du chiffre d'affaires mondial) plutôt que les sanctions bien plus faibles disponibles au titre du droit britannique antérieur au RGPD (un maximum de 500 000 livres au titre du Data Protection Act 1998 — le plafond qui avait limité la sanction de TalkTalk 2015).

En octobre 2020, l'ICO a prononcé une sanction finale de 20 millions de livres — soit environ 11 % de la proposition initiale. La réduction invoquait :

  • La situation financière de BA liée au COVID-19 durant 2020.
  • La remédiation volontaire et la coopération de BA.
  • L'absence de contestation par BA des constatations sous-jacentes de l'ICO (plutôt que du montant), simplifiant la procédure.

La réduction a été largement critiquée comme créant un précédent permissif. L'application ultérieure du RGPD a eu tendance à revenir vers le haut de la fourchette de sanctions disponible.

Impact

  • 429 000 clients dont les données de cartes de paiement ont été exposées.
  • Réémission de cartes pour les cartes touchées, principalement absorbée par les banques émettrices via la récupération par rétrofacturation.
  • Sanction de l'ICO de 20 M£ + règlement d'action collective (montants confidentiels par demandeur).
  • L'impact sur la marque de BA a été modeste au regard des standards des violations de cette ampleur — en partie parce que la réponse de BA vis-à-vis de ses clients a été rapide et claire.

Pourquoi c'est important

British Airways / Magecart est le cas canonique européen du risque lié à la chaîne d'approvisionnement du JavaScript tiers dans le e-commerce. Il a établi :

  • Que les formulaires de paiement intégrés chargeant du JavaScript tiers sont exposés à des attaques de vol de données à l'échelle de la chaîne d'approvisionnement. Le contrôle d'atténuation — les formulaires de paiement basés sur des iframes qui chargent les champs de saisie de carte depuis le domaine d'un prestataire de paiement plutôt que depuis le domaine du marchand — est depuis devenu une pratique recommandée par PCI-DSS, en partie à cause de British Airways.
  • Que l'ICO utiliserait les sanctions phares du RGPD pour les violations majeures, au moins sur le principe. La proposition initiale de 183,4 M£ signalait une intention répressive, même si la sanction finale a été nettement réduite.
  • Que les scripts tiers chargés depuis des CDN constituent une surface d'attaque insuffisamment surveillée. La plupart des grands acteurs du e-commerce chargent des dizaines de scripts tiers sur leurs pages de paiement ; l'affaire British Airways a fait de l'exposition de ces scripts au niveau de la chaîne d'approvisionnement une préoccupation au niveau du conseil d'administration.

L'opération contre British Airways, combinée à Ticketmaster (2018), Newegg (2018) et à la campagne Magecart plus large, a été le facteur le plus cité pour motiver l'adoption rapide d'outils de sécurité côté client (CSP, SRI, surveillance JavaScript à l'exécution) dans le e-commerce.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
35.0M
USD · 35 000 000 $US
  • Perte d’exploitation$10.0M
  • Remédiation$5.0M
  • Amendes & règlements$25.0M

Chronologie

  1. Les opérateurs de Magecart injectent un JavaScript malveillant dans le script d'information sur la livraison des bagages de British Airways — un JavaScript tiers chargé sur la page de paiement de BA. Le script capture les données de carte saisies dans le formulaire de paiement et les exfiltre vers un domaine typosquatté (baways.com).

  2. Le vol de données de cartes se poursuit pendant 15 jours. Environ 380 000 transactions sont capturées. L'application mobile de BA, qui chargeait le même JavaScript compromis, est également touchée.

  3. British Airways détecte le script malveillant lors d'un examen de sécurité de routine. Le script compromis est retiré.

  4. British Airways divulgue publiquement la violation via une déclaration du PDG Alex Cruz. Les clients sont notifiés directement.

  5. L'ICO britannique annonce son intention d'infliger à British Airways une amende de 183,4 millions de livres — à l'époque la plus importante sanction RGPD proposée par un régulateur de l'UE.

  6. Sanction finale de l'ICO : 20 millions de livres. La réduction invoque la situation financière de BA liée au COVID-19, sa remédiation volontaire et l'absence de contestation par BA des constatations sous-jacentes (plutôt que du montant).

  7. BA et l'ICO clôturent une action collective distincte par un règlement confidentiel par demandeur couvrant la plupart des clients touchés.

Sources

  1. ico.org.ukhttps://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2020/10/ico-fines-british-airways-20m-for-data-breach-affecting-more-than-400-000-customers/
  2. riskiq.comhttps://www.riskiq.com/blog/labs/magecart-british-airways-breach/
  3. bbc.comhttps://www.bbc.com/news/business-45446529

Incidents liés

Chaîne d’approvisionnementContenu

Rançongiciel par chaîne d'approvisionnement contre Kaseya VSA (REvil)

Des affiliés de REvil ont exploité une faille zero-day d'injection SQL dans la plateforme de gestion à distance Kaseya VSA pour déployer un rançongiciel auprès d'environ 60 MSP et, à travers eux, d'environ 1 500 organisations en aval. La plus grande attaque par rançongiciel via la chaîne d'approvisionnement jamais enregistrée.

Victim
Clients de Kaseya VSA (~60 MSP, ~1 500 organisations en aval)
Loss
$200.0M
Chaîne d’approvisionnementContenu

Fuite chez Jeu Jouet

Le distributeur français de jouets en ligne JeuJouet.com a alerté ses clients en avril 2026 après la compromission de sa plateforme e-commerce Magento dans une campagne d'exploitation massive, exposant potentiellement noms, e-mails, identifiants de compte et commandes ; aucune donnée bancaire concernée.

Victim
Jeu Jouet