Faille FunnelKit : vol de cartes bancaires sur WordPress

Une vulnérabilité de sécurité grave dans le plugin FunnelKit Funnel Builder pour WordPress serait activement exploitée par des attaquants pour dérober les informations de carte bancaire des clients au moment du paiement. Selon BleepingComputer, la faille concerne toutes les versions du plugin antérieures à la version 3.15.0.3 et peut être exploitée sans aucune connexion ni authentification préalable.

Que se passe-t-il ?

Selon BleepingComputer, les attaquants ciblent un point de terminaison de paiement non protégé dans le plugin. Cela leur permet de modifier les paramètres globaux du plugin sans avoir besoin d'un mot de passe ou d'un compte. Une fois l'accès obtenu, ils injectent du code JavaScript malveillant dans un paramètre appelé « External Scripts », qui s'exécute ensuite sur chaque page de paiement visitée par vos clients.

Le code injecté serait déguisé en faux script Google Tag Manager ou Google Analytics, ce qui le rend difficile à détecter. Il ouvre une connexion cachée vers un serveur externe et déploie un skimmer de carte bancaire, c'est-à-dire un morceau de code conçu pour copier silencieusement les informations sensibles au fur et à mesure que les clients les saisissent. Selon BleepingComputer, les données volées peuvent inclure les numéros de carte bancaire, les codes CVV, les adresses de facturation et d'autres informations clients.

Le plugin serait actif sur plus de 40 000 sites web, selon BleepingComputer.

Qu'a fait FunnelKit ?

FunnelKit a publié la version 3.15.0.3 du plugin Funnel Builder pour corriger la vulnérabilité. L'entreprise recommande aux propriétaires de sites web de mettre à jour vers cette version immédiatement via le tableau de bord WordPress. FunnelKit conseille également de vérifier Paramètres > Paiement > External Scripts afin de rechercher tout script suspect qu'un attaquant aurait pu ajouter.

Il convient de noter que ces informations proviennent de BleepingComputer, une source d'information secondaire, et non d'un avis officiel du fournisseur ou d'une décision réglementaire. La vulnérabilité n'a pas reçu d'identifiant CVE officiel, selon BleepingComputer.

Mesures à prendre immédiatement

Si vous utilisez le plugin FunnelKit Funnel Builder sur votre boutique WooCommerce, voici ce qu'il convient de faire :

• Mettez à jour immédiatement vers la version 3.15.0.3 ou ultérieure via votre tableau de bord WordPress
• Vérifiez le paramètre External Scripts sous Paramètres > Paiement > External Scripts et supprimez tout élément inconnu
• Consultez notre liste de contrôle de sécurité pour les petites entreprises
• Apprenez-en davantage sur la sécurisation des plugins WordPress

Qu'est-ce que cela signifie pour votre site ?

Si vous gérez une boutique en ligne avec WooCommerce et le plugin FunnelKit Funnel Builder, les données de paiement de vos clients pourraient être exposées si vous n'avez pas encore effectué la mise à jour. Mettre à jour vos plugins rapidement est l'une des mesures les plus simples pour protéger vos clients et votre activité.

En France, la collecte non autorisée de données personnelles telles que les coordonnées bancaires et les adresses de facturation peut engager votre responsabilité au regard du RGPD et de la Loi Informatique et Libertés. En cas de violation de données avérée, vous êtes tenu de le signaler à la CNIL dans les délais prévus. Même si vous n'êtes pas certain que votre site soit concerné, vérifier le paramètre External Scripts ne prend que quelques minutes et ne coûte rien.