Skip to main content
Blog
Blog Attacks

Formjacking vs Magecart vs skimming numérique : quelle différence ?

Le skimming numérique est le résultat (le vol de données), le formjacking la technique de capture, et Magecart l'écosystème des attaquants. Voici leurs liens.

Jul 10, 2026 10 min read
Formjacking vs Magecart vs skimming numérique : quelle différence ?

Le formjacking, Magecart et le skimming numérique sont trois couches d'une seule et même menace. Le skimming numérique est le résultat : des données de paiement ou personnelles volées sur un site par du code client malveillant. Le formjacking est une technique de capture qui détourne les champs d'un formulaire. Magecart désigne les groupes d'attaquants qui mènent ces campagnes. Un groupe Magecart mène une campagne de skimming numérique qui utilise souvent le formjacking.

Ces termes sont employés indifféremment dans les titres de presse, ce qui rend la menace plus difficile à combattre. Si vous les confondez, vous risquez d'acheter un outil qui traite la mauvaise couche. Ce guide distingue le résultat, la technique et l'acteur, puis explique pourquoi ces attaques échappent aux contrôles côté serveur et comment la surveillance côté client les détecte.

Qu'est-ce que le skimming numérique ?

Le skimming numérique, aussi appelé e-skimming ou web skimming, est le vol de données sensibles directement depuis un site web à l'aide de code malveillant qui s'exécute dans le navigateur du visiteur. La cible classique, ce sont les données de carte de paiement sur une page de paiement : numéro de carte, date d'expiration et CVV. Les skimmers récupèrent aussi des identifiants de connexion, des adresses et d'autres informations personnelles saisies dans un formulaire.

Le nom vient des skimmers physiques (lecteurs de cartes) fixés sur les distributeurs automatiques et les pompes à essence. La version numérique obtient le même résultat sans matériel. Du JavaScript malveillant lit les données à mesure que l'utilisateur les saisit et en envoie discrètement une copie vers un domaine contrôlé par l'attaquant. La transaction aboutit malgré tout normalement, si bien que les victimes comme les propriétaires de sites ne remarquent souvent rien pendant des semaines.

Le skimming numérique décrit le résultat. Il ne dit rien sur la manière dont le code est arrivé là ni sur qui l'y a mis. C'est là qu'interviennent les deux autres termes.

Qu'est-ce que le formjacking ?

Le formjacking est une technique de capture de données depuis des formulaires web. L'attaquant injecte du code qui s'accroche aux champs du formulaire, détournant ou superposant les saisies de sorte que les frappes au clavier soient copiées à mesure que l'utilisateur tape. Le formulaire légitime continue de fonctionner, et l'attaquant obtient simplement une copie parallèle de tout ce qui est saisi.

Le formjacking est l'un des moyens les plus courants de mener un skimming numérique, mais ce n'est pas le seul. Les skimmers peuvent aussi :

  • Lire directement le DOM, en récupérant les valeurs des champs lorsque l'utilisateur clique sur « payer »
  • Intercepter les écouteurs d'événements sur le bouton d'envoi pour capturer la charge utile du formulaire
  • Intercepter les requêtes réseau (par exemple en modifiant fetch ou XMLHttpRequest)
  • Superposer une fausse iframe de paiement par-dessus la vraie pour capturer les données de carte

Le formjacking s'inscrit dans la catégorie plus large des techniques de skimming. Toute attaque de formjacking est une attaque de skimming, mais toute attaque de skimming n'utilise pas le formjacking. Pour une analyse complète du fonctionnement du formjacking au niveau technique — les vecteurs d'injection, les signaux de détection et les contrôles de prévention — consultez notre guide complet sur le formjacking.

Qu'est-ce que Magecart ?

Magecart n'est ni un seul logiciel malveillant ni un seul groupe. C'est le nom générique que les chercheurs en sécurité ont donné à l'écosystème diffus d'attaquants qui mènent des campagnes de skimming numérique, ciblant à l'origine les boutiques e-commerce Magento (d'où « Mage »). RiskIQ et d'autres entreprises les ont suivis sous forme de groupes numérotés, chacun avec sa propre infrastructure, son style de code et son ciblage.

Une opération Magecart se déroule généralement en quatre étapes :

  1. Compromettre un script chargé par la cible, souvent une balise tierce (analytique, chat, A/B testing) ou un fichier JavaScript auto-hébergé
  2. Injecter un skimmer qui s'active sur les pages de paiement ou de connexion
  3. Capturer les données, fréquemment au moyen du formjacking, et les envoyer vers un domaine attaquant
  4. Monétiser les cartes ou les identifiants volés

Magecart désigne le qui et la campagne. Le formjacking désigne la manière dont les données sont capturées. Le skimming numérique désigne le résultat. Ce ne sont pas des termes concurrents. Ils se superposent.

Comment les trois termes s'articulent : un tableau comparatif

Associer chaque terme à la couche qu'il décrit permet de les distinguer clairement, avec un exemple réel et la façon dont les défenseurs les détectent.

TermeCe que c'estExemple concretComment on le détecte
Skimming numériqueLe résultat : données de paiement ou données personnelles volées via du code client malveillantBritish Airways en 2018, où du JavaScript injecté a skimmé les données de carte et exposé 429 612 clientsSurveillance côté client qui signale les données envoyées vers des domaines non autorisés
FormjackingUne technique : détourner ou superposer les champs d'un formulaire pour capturer les données à mesure qu'elles sont saisiesDes skimmers qui s'accrochent aux champs du formulaire de paiement pour copier les détails de carte à l'envoiDétection à l'exécution des écouteurs inattendus et des modifications sur les champs de formulaire
MagecartLes groupes d'attaquants et l'écosystème plus large de l'e-skimmingDes groupes Magecart liés aux fuites de British Airways et de TicketmasterSuivi des scripts tiers compromis et de l'infrastructure connue des attaquants

La relation en une phrase : un groupe Magecart (l'acteur) mène une campagne de skimming numérique (le résultat) qui utilise souvent le formjacking (la technique).

Incidents réels nommément cités

Deux fuites de 2018 restent les exemples canoniques, et elles montrent comment les couches s'emboîtent.

British Airways (2018). Les attaquants ont modifié le JavaScript du flux de paiement de la compagnie aérienne afin que les données des cartes soient copiées vers un domaine attaquant pendant que les réservations se déroulaient normalement. La fuite a exposé les données personnelles de 429 612 clients entre juin et septembre 2018, et RiskIQ ainsi que d'autres chercheurs l'ont reliée à Magecart. L'Information Commissioner's Office (ICO) britannique a infligé une amende de 20 millions de livres sterling en octobre 2020, réduite par rapport à un montant initialement proposé de 183,39 millions de livres sterling, ce qui en fait l'une des conséquences réglementaires les plus citées du skimming côté client. (Fuite de données British Airways, Wikipedia ; The Register)

Ticketmaster (2018). Ticketmaster a d'abord indiqué qu'environ 40 000 clients au Royaume-Uni avaient été touchés par du code injecté de manière malveillante sur les pages de paiement; l'incident plus large a ensuite été évalué comme pouvant affecter jusqu'à 5% de sa base mondiale de clients. Le skimmer a atteint Ticketmaster via le script compromis d'un fournisseur tiers, plutôt que par une compromission directe du propre code de Ticketmaster. (Magecart, Wikipedia)

Ce détail concernant les tiers est important. Vous pouvez écrire un code first-party parfait et tout de même livrer un skimmer à vos utilisateurs, parce qu'un script de fournisseur auquel vous faites confiance a été compromis en amont. La plupart des équipes chargent des dizaines de scripts tiers sur des pages sensibles, et chacun d'eux est un point d'injection potentiel, c'est pourquoi sécuriser les scripts tiers constitue un contrôle à part entière.

Pourquoi les outils côté serveur et les WAF passent à côté de ces attaques

Le skimming, le formjacking et Magecart s'exécutent tous dans le navigateur, une fois que votre serveur a fait son travail. C'est cette propriété qui met en difficulté les contrôles traditionnels :

  • Les pare-feu applicatifs web inspectent les requêtes qui arrivent à votre origine. Un skimmer lit le champ du formulaire et envoie les données directement vers un domaine attaquant, de sorte que le trafic malveillant ne passe jamais par le WAF.
  • Les scanners côté serveur vérifient le code présent sur vos serveurs. Une balise tierce compromise se charge depuis le domaine du fournisseur à l'exécution, elle ne se trouve donc jamais dans votre dépôt ni sur votre origine à analyser.
  • La surveillance réseau voit du trafic HTTPS chiffré entre le navigateur et divers domaines. L'exfiltration vers un domaine attaquant ressemble souvent à un banal beacon analytique.

Le Data Breach Investigations Report de Verizon a signalé à plusieurs reprises les attaques d'applications web et l'abus de code tiers comme un vecteur majeur de fuites, et la réponse des organismes de normalisation confirme où se situe la faille. (Verizon DBIR) PCI DSS 4.0.1 a ajouté les exigences 6.4.3 et 11.6.1 pour traiter directement le risque côté client : les organisations doivent gérer et surveiller chaque script sur les pages de paiement et détecter les modifications non autorisées de ces pages. (PCI Security Standards Council) Ces exigences existent parce que Magecart a prouvé que la sécurité côté serveur ne suffit pas.

Comment la surveillance côté client détecte le skimming en temps réel

Si l'attaque s'exécute dans le navigateur, la défense doit voir le navigateur. La surveillance côté client observe chaque script à mesure qu'il s'exécute pour l'utilisateur, le seul endroit où un skimmer se trahit. Une détection efficace couvre :

  • L'inventaire des scripts et la détection des changements. Connaître chaque script qui s'exécute sur les pages sensibles et être alerté dès qu'un script est ajouté, modifié ou se met à se comporter différemment.
  • Le comportement des champs de formulaire. Signaler les écouteurs inattendus attachés aux saisies, les superpositions placées sur les champs de paiement et le code qui lit des valeurs de formulaire auxquelles il ne devrait pas toucher.
  • La surveillance de l'exfiltration. Détecter les données envoyées vers des domaines absents de votre liste d'autorisation, ce qui est la signature d'un skimmer.

cside opère à cette couche. Il analyse les scripts et surveille leur comportement à l'exécution, ce qui lui permet de détecter Magecart en temps réel et de repérer un script tiers altéré dès qu'il change, et non des semaines plus tard, une fois les cartes déjà revendues. Pour les pages de paiement, PCI Shield fait correspondre cette surveillance aux exigences 6.4.3 et 11.6.1 de PCI DSS 4.0.1, et la solution plus large de sécurité côté client couvre la connexion et d'autres flux sensibles.

Pour une vue d'ensemble du paysage des outils, consultez notre guide des outils de sécurité côté client.

En résumé

Le formjacking, Magecart et le skimming numérique sont trois points de vue sur une même menace qui réside dans le navigateur : l'acteur, la technique et le résultat. Ils ne nécessitent pas trois produits distincts. Se défendre contre tous suppose une visibilité en temps réel sur ce que fait chaque script dans le navigateur de vos utilisateurs.

Les contrôles côté serveur restent nécessaires, mais ils sont aveugles à la couche où ces attaques opèrent. Les équipes qui repèrent tôt les skimmers sont celles qui surveillent le comportement des scripts à l'exécution, le comparent à une référence connue comme saine et donnent l'alerte dès qu'un script de confiance se met à faire quelque chose qu'il n'avait jamais fait auparavant.

Réservez une démo pour découvrir comment cside détecte le formjacking, Magecart et le skimming numérique sur vos pages en production, ou explorez le paysage plus large des outils dans notre guide des outils de sécurité côté client.

Simon Wijckmans
Founder & CEO

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

FAQ

Frequently Asked Questions

Le skimming numérique est le résultat : le vol de données de paiement ou de données personnelles sur un site à l'aide de code client malveillant. Le formjacking est une technique courante pour y parvenir, qui détourne ou superpose les champs d'un formulaire afin de capturer les données à mesure que l'utilisateur les saisit. Magecart est le nom que les chercheurs en sécurité donnent aux groupes d'attaquants et à l'écosystème plus large de l'e-skimming. En pratique, un groupe Magecart mène une campagne de skimming numérique qui utilise souvent le formjacking pour capturer les données.

Non. Le formjacking est une technique. Magecart est un nom désignant les groupes et l'écosystème à l'origine de nombreuses campagnes de skimming. Un acteur Magecart peut recourir au formjacking, mais le skimming fonctionne aussi en lisant les requêtes réseau, en récupérant le contenu du DOM ou en interceptant les écouteurs d'événements. Ces termes se recoupent dans la presse, mais ils décrivent des couches différentes : qui attaque (Magecart), comment les données sont capturées (formjacking) et quel est le résultat (skimming numérique).

Les chercheurs de RiskIQ et d'autres ont relié la fuite de données de British Airways de 2018 à Magecart. Les attaquants ont modifié le JavaScript du flux de paiement de la compagnie aérienne afin que les données des cartes soient copiées vers un domaine contrôlé par les attaquants, pendant que les réservations se déroulaient normalement. La fuite a exposé les données personnelles de 429 612 clients, et l'ICO britannique a infligé une amende de 20 millions de livres sterling en octobre 2020 (réduite par rapport à un montant initialement proposé de 183,39 millions de livres sterling). Cela reste l'un des exemples les plus cités de skimming numérique côté client.

Le skimming et le formjacking s'exécutent dans le navigateur de l'utilisateur, une fois que le contenu a quitté votre serveur. Un pare-feu applicatif web inspecte les requêtes qui atteignent votre origine, mais un skimmer peut lire le champ du formulaire et envoyer les données directement vers un domaine attaquant sans jamais toucher votre backend. Les contrôles côté serveur n'ont aucune visibilité sur le comportement du JavaScript à l'exécution dans le navigateur, c'est précisément là que ces attaques opèrent.

Détectez-les grâce à une surveillance côté client qui observe chaque script à mesure qu'il s'exécute dans le navigateur. Une détection efficace signale les scripts tiers nouveaux ou modifiés, les écouteurs inattendus sur les champs de formulaire et les données envoyées vers des domaines non autorisés. cside analyse les scripts et surveille leur comportement à l'exécution, de sorte qu'un script tiers altéré est repéré dès qu'il change, plutôt que des semaines plus tard, après une fuite.

Oui. Les exigences 6.4.3 et 11.6.1 de PCI DSS 4.0.1 imposent aux organisations de gérer et de surveiller les scripts qui s'exécutent sur les pages de paiement et de détecter les modifications non autorisées de ces pages. Ces exigences existent en grande partie à cause du skimming de type Magecart, et elles poussent les équipes vers une surveillance continue des scripts côté client plutôt que vers des contrôles manuels périodiques.

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité
Related Articles
Réserver une démonstration