Mauvais groove chez Ticketmaster. Le spécialiste de la billetterie en ligne a été victime d’un piratage assez sophistiqué qui s’est soldé par le vol de données personnelles et de données de cartes bancaires. Les personnes potentiellement concernées par cet incident sont celles qui ont acheté ou tenté d’acheter des billets en ligne entre septembre 2017 et le 23 juin 2018. Au Royaume-Uni, les utilisateurs n’étaient exposés à ce risque que depuis février 2018.
Un flou persiste sur le nombre d’utilisateurs impactés. Dans un communiqué, Ticketmaster explique que « moins de 5 % de la base globale des clients » serait concernée par cet incident. Selon The Guardian, le prestataire aurait même estimé à moins de 40.000 le nombre de personnes directement impactés par ce piratage, alors que l’entreprise compte plus de 230 millions de clients dans le monde. En France, des clients de Ticketmaster ont reçu le message d’alerte ci-dessous.
Par mesure de précaution, certains établissements bancaires n’ont pas hésité à remplacer immédiatement les cartes bancaires de leurs clients potentiellement impactés. En effet, ce piratage a d’ores et déjà généré un certain nombre de paiements frauduleux, notamment au Royaume-Uni.
Pour siphonner toutes ces données, les pirates ont d’abord hacké les serveurs de la société californienne Inbenta Technologies, un sous-traitant qui fournissait à Ticketmaster un service de support en ligne par messagerie instantanée. Ce service était implémenté sous la forme d’un Javascript personnalisé qui était intégré dans les pages du site de Ticketmaster, y compris dans la zone de paiement en ligne. En accédant aux serveurs d’Inbenta, les pirates ont modifié certains fichiers de code relatifs à ce service, ce qui leur permettait ensuite de mettre la main sur les données que les utilisateurs renseignaient dans le site de Ticketmaster.
Ticketmaster a été alerté dès le 12 avril 2018
Qui est responsable ? Ticketmaster et Inbenta se renvoient la balle. Le premier souligne que le piratage s’est appuyé sur « un malware dans un logiciel de support client hébergé par Inbenta Technologies ». Le second pointe vers une implémentation hasardeuse du côté de la billetterie en ligne. « Ticketmaster a directement appliqué le script à sa page de paiement en ligne sans notifier notre équipe. Si nous avions su que ce script personnalisé était utilisé de cette façon, nous l’aurions déconseillé car cela augmente le risque de vulnérabilité », explique Jordi Torras, PDG d’ Inbenta, dans un communiqué.
En tous les cas, il semblerait que Ticketmaster n’ait pas géré l’affaire du mieux possible. Dans une note de blog, la banque britannique Monzo explique avoir alerté la billetterie en ligne dès le 12 avril 2018 sur une possible fuite de leurs données clients. Mais le 19 avril, Ticketmaster a expliqué à la banque n’avoir rien trouvé de suspect. Une première conclusion fort loin de la vérité.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
