Blog Attacks

Prévention de Magecart en 2026 : Quelles Plateformes de Client-Side Security le Détectent Vraiment ?

Magecart s'exécute dans le navigateur tout au long du parcours d'achat. Cinq plateformes de client-side security comparées sur les capacités qui le détectent réellement.

Jul 01, 2026 • 13 min read

Mike Kutlu Client-Side Security Consultant

Prévention de Magecart en 2026 : Quelles Plateformes de Client-Side Security le Détectent Vraiment ?

Magecart est une catégorie d'attaque client-side dans laquelle du JavaScript malveillant s'exécute à l'intérieur du navigateur d'un utilisateur, capturant silencieusement les données de cartes de paiement au moment de leur saisie et les transmettant à un serveur contrôlé par l'attaquant. L'attaque se produit entièrement dans l'environnement du navigateur, après le chargement de la page et avant que la transaction n'atteigne le processeur de paiement. Les outils de sécurité côté serveur, les WAF et l'inspection réseau ne peuvent pas l'observer, car les données ne quittent jamais le navigateur sous une forme qu'ils interceptent.

Le terme est né d'un groupe de menace spécifique documenté à partir de 2016. Il décrit aujourd'hui la catégorie d'attaque plus large : toute attaque de skimming qui opère au niveau de la couche navigateur, que ce soit par injection directe de script, compromission de la chaîne d'approvisionnement d'un fournisseur de confiance ou modification du payload d'un tag manager. Le mécanisme est le même quel que soit le point d'entrée : du code malveillant lit les valeurs des champs de formulaire et les exfiltre avant la soumission.

Le rapport 2024 d'IBM sur le coût d'une violation de données chiffre le coût moyen mondial d'une violation à 4,88 millions de dollars US. Le rapport 2024 de Verizon sur les enquêtes relatives aux violations de données classe les attaques contre les applications web parmi les trois schémas de violation confirmés les plus courants dans le secteur de la distribution. Les exigences 6.4.3 et 11.6.1 de la norme PCI DSS 4.0.1, obligatoires depuis le 31 mars 2025, ont été rédigées spécifiquement pour traiter la catégorie d'attaque Magecart au moyen de l'inventaire des scripts, de la gouvernance des autorisations et de la détection des modifications à l'exécution.

Le défi pour les équipes de sécurité n'est pas la prise de conscience. C'est de sélectionner une plateforme dotée de l'architecture de détection capable de stopper une véritable attaque Magecart. Cette analyse évalue cinq plateformes de client-side security par rapport aux exigences de détection d'un modèle de menace Magecart concret.

Qu'est-ce que Magecart ? Magecart est une technique d'attaque client-side dans laquelle du JavaScript malveillant est injecté dans l'environnement d'exécution navigateur d'un site web pour capturer les données de cartes de paiement des champs de formulaire avant qu'elles n'atteignent le processeur de paiement. Le code s'exécute à l'intérieur du navigateur, invisible pour le monitoring côté serveur, les WAF et les outils d'inspection réseau. Les attaques Magecart modernes sont livrées via la compromission de la chaîne d'approvisionnement de scripts fournisseurs de confiance, et pas uniquement par injection directe.

Ce qu'Exige Réellement la Détection de Magecart

Réponse rapide : Trois capacités distinguent une véritable détection de Magecart d'un simple monitoring de scripts à visée de conformité : une couverture des sessions de vrais utilisateurs sur l'ensemble du parcours d'achat (pas seulement le checkout), une détection des déviations comportementales au niveau du script et un archivage de preuves de qualité IR qui consigne ce qui s'exécutait dans le navigateur au moment de l'attaque. Une plateforme à laquelle il manque l'une de ces capacités passera à côté de catégories entières d'attaques actives.

Couverture de l'ensemble du parcours d'achat. L'action coercitive de l'Information Commissioner's Office contre British Airways a établi qu'environ 500 000 clients avaient été touchés sur une période de 15 jours en 2018 par une attaque de script au niveau du navigateur. Les payloads Magecart modernes s'activent sur les pages produit et les pages panier, pas uniquement à l'étape du checkout, car les signaux d'intention d'achat et les premières interactions avec les formulaires démarrent plus tôt dans la session. Une plateforme qui ne couvre que la page de paiement passe à côté d'une part importante de la surface d'attaque actuelle.

Monitoring des sessions de vrais utilisateurs. Les payloads Magecart sont de plus en plus conçus pour déjouer le scanning périodique et synthétique. Les techniques d'évasion courantes incluent l'activation limitée dans le temps (le payload ne s'exécute que pendant certaines heures), le géociblage (le code ne s'active que pour les utilisateurs de certains pays) et la détection par fingerprint de session (le payload se supprime lorsqu'il détecte un comportement de bot). Une plateforme qui scanne selon un calendrier, depuis un crawler ou à l'aide de sessions synthétiques est précisément contournée par ces techniques. Le monitoring des sessions de vrais utilisateurs n'a aucune faille de détection, car l'attaque s'exécute dès la première session réelle où la version compromise est active.

Détection des déviations comportementales. Les attaques Magecart de la chaîne d'approvisionnement arrivent via des scripts fournisseurs de confiance. Un script fournisseur compromis servi par un CDN peut porter un nouveau hash d'apparence légitime depuis une origine autorisée. Le monitoring basé uniquement sur le hash ne signale pas cette attaque, car l'origine et le canal de livraison sont tous deux autorisés. La détection des déviations comportementales établit une référence de ce que chaque script fait à l'exécution (lectures d'éléments du DOM, accès aux champs de formulaire, destinations réseau sortantes, imports dynamiques) et signale les changements de comportement, que le hash ou l'origine paraissent normaux ou non.

Archivage de preuves de qualité IR. Les enquêtes forensiques des réseaux de cartes et les régulateurs de la protection des données exigent une documentation de ce qui s'exécutait dans le navigateur lors d'une compromission confirmée, des sessions affectées et des données concernées. Les plateformes qui archivent les payloads de scripts désobfusqués avec des horodatages par session peuvent reconstituer un incident précis à partir de leur registre de preuves. Les plateformes qui ne conservent que les métadonnées d'alerte et les notifications de changement ne peuvent pas répondre à ces questions.

Les Plateformes

cside

Idéal pour : les équipes de sécurité eCommerce qui ont besoin d'une détection de Magecart sur l'intégralité de la session, couvrant tout le parcours d'achat, avec des preuves de conformité PCI DSS validées par un QSA et un archivage de payloads de qualité IR au sein d'une plateforme unique.

cside surveille chaque session de vrai utilisateur, du chargement de la page jusqu'à la finalisation de la transaction, en couvrant les pages produit, les pages panier et le checkout. La plateforme détecte les changements de script dans cinq catégories : URL, hash, comportement, chemin d'exécution et destination. La détection des déviations comportementales établit une référence à l'exécution pour chaque third-party script et signale les changements dans ce que fait le script, et pas seulement dans ce qu'il est, de sorte que les attaques Magecart de la chaîne d'approvisionnement sont détectées quel que soit le statut du hash ou de l'origine.

Les changements de script sont détectés en moins de 60 secondes en moyenne sur l'ensemble des sessions de vrais utilisateurs (données produit cside). Le modèle d'archivage des payloads désobfusqués consigne la version lisible de tout changement de script obfusqué, accompagnée de l'horodatage par session et des destinations réseau, répondant aux questions forensiques que posent les réseaux de cartes et les régulateurs après un incident confirmé. Au T1 2025, cside a détecté plus de 300 000 signaux d'attaque client-side jamais observés auparavant sur l'ensemble des déploiements clients.

Lors des 2026 Globee® Cybersecurity Awards, un jury indépendant a décerné à cside le Gold Globee® Award (Best of Category) en Client-Side Security ; Jscrambler a reçu le Silver. Voir le comparatif détaillé cside vs Jscrambler.

Tableau de bord Privacy Watch de cside

Le tableau de bord PCI Shield couvre à la fois les exigences 6.4.3 et 11.6.1 avec des preuves validées par le QSA VikingCloud. L'onboarding en self-service et la tarification transparente permettent aux équipes de sécurité d'atteindre une posture de client-side security opérationnelle sans engagement de services.

Source Defense

Idéal pour : les marchands qui veulent limiter le rayon d'impact d'une compromission Magecart de la chaîne d'approvisionnement à un niveau structurel, par le sandboxing, plutôt que de s'en remettre à une détection a posteriori.

Source Defense exécute les third-party scripts dans un environnement d'exécution isolé (sandbox) qui restreint leur accès aux éléments du DOM et aux champs de formulaire de la page de paiement. Un script fournisseur compromis dans la chaîne d'approvisionnement qui s'exécute dans la sandbox ne peut pas lire les données de carte, même si la compromission n'est pas détectée immédiatement, car les restrictions structurelles empêchent le chemin d'accès dont un skimmer a besoin.

Pour les marchands chez qui la latence de détection est une préoccupation majeure (un skimmer qui s'exécute pendant des heures durant un cycle de scan est inacceptable), le sandboxing comme contrôle principal élimine cette fenêtre. Source Defense satisfait également les exigences 6.4.3 et 11.6.1 de la norme PCI DSS en matière d'inventaire des scripts et de monitoring des changements. Évaluez la compatibilité avec le JavaScript du processeur de paiement avant de déployer la couche de sandboxing.

Reflectiz

Idéal pour : les plateformes fintech et eCommerce qui portent un risque PCI DSS en parallèle d'obligations RGPD ou HIPAA, et qui ont besoin que le comportement des scripts soit mis en correspondance avec plusieurs cadres de conformité simultanément.

Reflectiz surveille le comportement des third-party scripts et le met en correspondance avec les obligations réglementaires. La fonctionnalité Policies, lancée en avril 2026, permet des règles d'application automatisées : les scripts qui enfreignent des profils comportementaux définis déclenchent des réponses automatisées, réduisant la charge de revue manuelle dans les environnements à cadence élevée de mises à jour fournisseurs.

Pour les organisations fintech chez qui une compromission de type Magecart d'un third-party script crée à la fois une obligation de preuve PCI DSS et une exigence de notification RGPD, une couverture unifiée des cadres réduit la charge opérationnelle liée à la tenue de dossiers de preuves distincts. Reflectiz utilise une approche de monitoring par navigateur distant ; validez la couverture des sessions de vrais utilisateurs par rapport à votre modèle de menace d'évasion avant de le retenir comme contrôle principal de détection de Magecart.

Jscrambler

Idéal pour : les équipes de développement eCommerce qui possèdent une part importante de JavaScript first-party dans le flux de checkout et qui ont besoin d'un monitoring Magecart des scripts tiers en parallèle de la protection de leur code first-party.

Le produit Webpage Integrity de Jscrambler couvre le monitoring des third-party scripts pour les exigences 6.4.3 et 11.6.1 de la norme PCI DSS, en parallèle de l'obfuscation, du code auto-défensif et de la détection d'altération pour le JavaScript first-party. Pour les marchands disposant d'une part substantielle de code propriétaire dans le chemin de checkout, le modèle intégré traite à la fois le risque de protection du code interne et l'exigence de conformité liée aux scripts tiers.

La profondeur de la détection comportementale face aux attaques Magecart de la chaîne d'approvisionnement doit être validée directement par rapport à votre modèle de menace spécifique, en particulier pour les attaques qui utilisent des imports dynamiques ou l'évasion comportementale, avant de retenir Jscrambler comme contrôle principal de détection à l'exécution.

HUMAN Security : Page Protect

Idéal pour : les grandes plateformes eCommerce qui portent à la fois un risque Magecart et une fraude au paiement pilotée par des bots, et qui souhaitent une couverture unifiée de la couche navigateur sous un contrat fournisseur unique.

Page Protect de HUMAN traite le risque lié aux scripts client-side dans le cadre de sa plateforme plus large de bot management et de prévention de la fraude. Pour les activités eCommerce où le credential stuffing, l'abus de stock et la fraude au paiement coexistent avec le risque de skimmer, un fournisseur unique couvrant les deux surfaces réduit la complexité de la gestion de plusieurs outils spécialisés.

HUMAN est avant tout une plateforme de prévention des bots et de la fraude ; la capacité de monitoring des scripts client-side est robuste, mais peut être moins granulaire sur la production de preuves PCI DSS et l'archivage de payloads de qualité IR que des spécialistes dédiés. Les équipes de sécurité dotées d'un modèle de menace spécifique à Magecart devraient valider les capacités de détection comportementale de Page Protect par rapport à cside et Jscrambler avant de s'engager.

Comparaison en un Coup d'Œil

Plateforme	Parcours d'achat complet	Sessions de vrais utilisateurs	Déviation comportementale	Archivage désobfusqué	PCI 6.4.3 + 11.6.1
cside	Oui	Oui (100 %)	Oui	Oui	Oui (validé par QSA)
Source Defense	Oui	Oui	Via sandboxing	Partiel	Oui
Reflectiz	Partiel	Navigateur distant	Synthétique uniquement	Partiel	Oui
Jscrambler	Oui	Oui	Partiel	Limité	Oui
HUMAN Page Protect	Oui	Oui	Partiel	Limité	Partiel

Comment Choisir

Réponse rapide : Si votre risque principal est un skimming Magecart actif et que vous avez besoin de preuves de qualité IR pour reconstituer un incident confirmé, privilégiez les plateformes offrant un monitoring des sessions de vrais utilisateurs à 100 %, une détection des déviations comportementales et un archivage des payloads désobfusqués. Si l'objectif est la prévention plutôt que la détection, une approche par sandboxing limite structurellement ce qu'un script compromis peut atteindre avant que la détection n'intervienne.

Si vous devez détecter un Magecart actif et produire des preuves forensiques : cside offre la couverture la plus complète, parcours d'achat complet, monitoring de session à 100 %, détection des déviations comportementales, archivage désobfusqué et preuves de conformité PCI DSS validées par un QSA.

Si la prévention structurelle est le contrôle principal : l'approche par sandboxing de Source Defense limite le rayon d'impact d'une compromission de la chaîne d'approvisionnement avant que la détection n'intervienne. Évaluez la compatibilité de la sandbox avec le JavaScript de votre processeur de paiement avant le déploiement.

Si vous portez plusieurs cadres de conformité en parallèle de PCI DSS : Reflectiz met en correspondance le comportement des scripts avec PCI, le RGPD et HIPAA simultanément. Validez la couverture par navigateur distant par rapport à votre modèle de menace d'évasion Magecart.

Si la protection du JavaScript first-party fait également partie du périmètre : Jscrambler couvre le monitoring des scripts tiers et l'obfuscation du first-party au sein d'une plateforme unique. Validez la profondeur de la détection comportementale des scripts tiers par rapport aux schémas d'attaque Magecart actuels.

Pour une vue plus large de la façon dont ces contrôles s'intègrent aux stacks eCommerce et fintech, consultez notre guide sur la client-side security pour les plateformes eCommerce et fintech et la manière d'évaluer les outils de visibilité en temps réel sur les attaques de navigateur.

Client-Side Security Consultant Mike Kutlu

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Magecart est un type d'attaque de web skimming dans laquelle du JavaScript malveillant s'exécute à l'intérieur de l'environnement navigateur d'un site web et capture silencieusement les données de cartes de paiement à mesure que les utilisateurs les saisissent. Le code lit les valeurs des champs de formulaire dans le navigateur avant qu'elles n'atteignent le processeur de paiement, puis les transmet à un serveur contrôlé par l'attaquant. L'attaque opère entièrement dans la couche client-side, ce qui signifie que le monitoring côté serveur, les WAF et les outils d'inspection réseau ne l'observent pas pendant le transit.

Une CSP bien configurée restreint les origines de scripts autorisées et bloque de nombreux chemins d'injection directe. En revanche, la CSP ne protège pas contre les attaques Magecart de la chaîne d'approvisionnement, où le code malveillant est livré via l'origine d'un CDN fournisseur de confiance déjà autorisé dans la politique. La norme PCI DSS 11.6.1 exige explicitement un monitoring à l'exécution en complément de la CSP, car la CSP seule ne satisfait pas l'exigence.

Les payloads Magecart modernes intègrent une logique d'évasion spécifiquement conçue pour déjouer le scanning périodique et synthétique. Les techniques courantes incluent l'activation limitée dans le temps, le géociblage et la détection par fingerprint de session qui supprime le payload lorsque la session correspond à des schémas de comportement de bot. Les plateformes qui scannent selon un calendrier ou depuis des sessions synthétiques sont précisément contournées par ces techniques. Le monitoring des sessions de vrais utilisateurs n'a pas cette faiblesse, car il observe les mêmes sessions que celles ciblées par l'attaquant.

Le temps de détection dépend entièrement de l'architecture de monitoring. Les plateformes dotées d'un monitoring des sessions de vrais utilisateurs détectent l'attaque dès la première session où le script compromis s'exécute, potentiellement quelques minutes après la mise à jour du script fournisseur. Les plateformes de scanning périodique peuvent manquer l'attaque pendant des heures ou des jours selon la fréquence de scan. La norme PCI DSS 11.6.1 impose une évaluation hebdomadaire des modifications des pages de paiement, ce qui signifie qu'une plateforme conforme fonctionnant au standard minimal peut laisser une attaque se dérouler sur plusieurs jours entre deux cycles de scan.

Conservez le payload désobfusqué du script compromis, l'enregistrement de détection par session indiquant la première apparition du changement, la liste des sessions et des fenêtres temporelles pendant lesquelles la version compromise était active, ainsi que les enregistrements des destinations réseau sortantes pour les données transmises durant ces sessions. Ces preuves répondent aux questions forensiques que posent les réseaux de cartes et les régulateurs : quelles données ont été exposées, pour quels utilisateurs et pendant combien de temps. Les plateformes dotées d'un archivage continu au niveau de la session rendent cette reconstitution réalisable ; les plateformes qui ne conservent que les métadonnées d'alerte en sont incapables.

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Réserver une démonstration

Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité

Comment arrêter le partage de compte sur les plateformes de jeux vidéo : détecter les services de boosting et la revente de comptes sans bloquer les ménages

Le partage de compte dans le jeu vidéo prend trois formes distinctes : boosting, revente de compte et accès familial.

Client-side security pour l'eCommerce et la fintech : meilleures plateformes en 2026

Les sites eCommerce et fintech font face au skimming Magecart et à PCI DSS 4.0.1. Six plateformes de client-side security passées en revue pour protéger les scripts des pages de paiement.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les outils d’échantillonnage qui manquent les attaques à l’exécution

Pourquoi les outils de sécurité par échantillonnage manquent les attaques au runtime sur les plateformes de jeux d'argent

Les outils qui échantillonnent moins de 10 % des sessions visent les cases d'audit, pas la détection d'attaques en direct. Voici la lacune.

Comment arrêter le partage de compte sur les plateformes e-commerce : détecter les abonnements partagés sans bloquer les acheteurs du même foyer

Le partage de compte dans l'e-commerce prend trois formes distinctes : partage d'abonnement, partage d'identifiants de programme de fidélité et…

Comment Détecter et Bloquer les Agents IA Inconnus sur Votre Site Web

Les agents IA inconnus n'ont pas de user-agent et ignorent robots.txt. Découvrez les signaux du navigateur qui révèlent les agents non déclarés et comment agir.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les exigences de sécurité des scripts de la UK Gambling Commission

Conditions de licence de la UK Gambling Commission et sécurité des scripts tiers : ce que les opérateurs doivent savoir

La conformité LCCP de la UKGC exige un environnement technique sécurisé. Les scripts tiers qui redirigent ou exfiltrent créent une exposition directe.

Partage de compte en SaaS B2B : comment appliquer la licence par siège sans bloquer les équipes légitimes

Le partage de sièges en SaaS B2B est la forme d'abus d'identifiants la plus sous-détectée.

Comment Bloquer l'Automatisation Playwright sur Votre Site Web

Playwright pilote de vrais navigateurs identiques à des humains au niveau réseau. Voici comment le détecter, et pourquoi robots.txt et le blocage d'IP échouent.

Schéma d'une chaîne de dépendances tierces avec un SDK d'analytics compromis injectant du code malveillant dans le frontend de Polymarket.

Au cœur de l'attaque de chaîne d'approvisionnement côté client de $3M contre Polymarket

Un fournisseur tiers compromis a injecté un vidangeur de portefeuilles dans le frontend de Polymarket et volé environ $3M, smart contracts intacts.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les pixels de suivi invisibles et le risque publicitaire dans les jeux

Shadow tracking pixels sur les sites de jeux d'argent : le problème de conformité GDPR et publicitaire que les opérateurs ne voient pas

Des pixels Facebook, TikTok ou LinkedIn non autorisés sur les sites de jeux d'argent déclenchent une double responsabilité GDPR et publicitaire.