Blog

Qu'est-ce que les skimmers numériques ?

Récemment, nous avons appris l'existence d'une nouvelle campagne de cyberattaque majeure ciblant des centaines de boutiques en ligne, exploitant des vulnérabilités dans des scripts et plugins tiers. C'est un exemple parfait de « skimmer numérique ». Les skimmers numériques sont des fragments de code injectés de manière malveillante dans des sites web légitimes. Ils ciblent les informations personnelles et les données de carte bancaire. Ce problème est en pleine expansion et constitue l'une des raisons pour lesquelles cside a été créé. Notre proxy est capable de détecter ce code malveillant et d'empêcher qu'il n'affecte

Aug 29, 2024 • 5 min read

Simon Wijckmans Founder & CEO

C'est un exemple parfait de « skimmer numérique ».

Les skimmers numériques sont des fragments de code injectés de manière malveillante dans des sites web légitimes. Ils ciblent les informations personnelles et les données de carte bancaire.

Ce problème est en pleine expansion et constitue l'une des raisons pour lesquelles cside a été créé. Notre proxy est capable de détecter ce code malveillant et d'empêcher qu'il n'affecte les utilisateurs sur les sites web.

Ce code est chargé côté client (dans le navigateur) de l'utilisateur, et non sur le serveur du site web. Cela le rend particulièrement difficile à détecter, car la plupart des sites web ne disposent pas d'un outil comme cside pour protéger l'expérience côté client de leurs utilisateurs.

La plupart de nos concurrents analysent ce code après son chargement dans le navigateur de l'utilisateur — sans bloquer l'attaque, mais en se contentant d'alerter le site concerné. Nous, nous chargeons tous les scripts d'abord dans un proxy, et ce n'est qu'une fois leur innocuité confirmée que nous les servons à l'utilisateur. Nous optimisons également les scripts lorsque c'est possible, afin de les délivrer plus rapidement qu'un réseau de diffusion de contenu (CDN), limitant ainsi toute latence. En réalité, nous augmentons souvent la vitesse de livraison de ces scripts.

Ce qui s'est passé lors de cette attaque

Cette attaque a été divulguée par MalwareBytes et était, jusqu'à récemment, la plus récente d'une série d'attaques menées contre des sites e-commerce utilisant Magento.

Nous n'en avions pas rendu compte, car aucun de nos utilisateurs ne fait tourner Magento actuellement.

Par ailleurs, nous avons récemment remarqué que Malwarebytes(.)fr avait été configuré en page de vente de domaine, avec un enregistreur d'IP. Celui-ci envoyait ensuite les données collectées vers un webhook Discord. La page a rapidement été supprimée ou bannie de Discord. Lisez ici pourquoi les domaines expirés peuvent représenter un problème majeur et sont souvent utilisés dans ce type d'attaques.

Voici la preuve de ce webhook :

Revenons au sujet.

Une attaque de ce type sur la chaîne d'approvisionnement web se produit parce que les attaquants compromettent Magento (ou un plugin Magento) et insèrent simplement une ligne de JavaScript à distance. Dans la plupart de ces attaques, et notamment dans cette dernière en date, les attaquants modifient un script légitime afin de rester indétectés le plus longtemps possible.

Le code est également obfusqué pour rendre encore plus difficile la compréhension de ce qui est exécuté. Il s'agit d'une technique légitime de protection du code, utilisée couramment par les entreprises pour empêcher que leur code soit copié ou altéré.

À partir de là, l'attaque est assez simple. Le code charge une fonction qui récupère les informations saisies sur le site et les insère dans toutes sortes de formulaires soumis. Le domaine intégré dans le code malveillant les reçoit, et les attaquants disposent alors de ces informations.

Dans cette attaque, ils ciblaient les données de carte bancaire de personnes effectuant des achats en ligne sans se méfier. Ces personnes peuvent difficilement se protéger, mais les sites sur lesquels l'attaque se produit sont responsables et reçoivent souvent des amendes de la part du PCI DSS, voire font l'objet de poursuites judiciaires.

Dans ce cas précis, le flux de paiement a été interrompu lors du passage en caisse. Un faux cadre de méthodes de paiement a été inséré, et les utilisateurs ont rempli ce formulaire frauduleux à la place du vrai. Cela a été réalisé via une simple balise image insérée dans une unique ligne de JavaScript.

Cela ressemblait à : {domain}.{shop|online)/img/

Les domaines malveillants identifiés dans ces attaques jusqu'à présent incluent :

codcraft(.)shop
codemingle(.)shop
datawiz(.)shop
deslgnpro(.)shop
happywave(.)shop
luckipath(.)shop
pixelsmith(.)shop
salesguru(.)online
statlstic(.)shop
statmaster(.)shop
trendset(.)website
vodog(.)shop
artvislon(.)shop
statistall(.)com
analytlx(.)shop

Il s'agit d'une nouvelle attaque dans une série qui souligne le besoin immédiat pour les entreprises de sécuriser l'expérience côté client de leurs utilisateurs. Si les sites avaient installé un outil comme cside, leurs utilisateurs auraient été protégés.

La réglementation est là

D'ici mars 2025, PCI DSS 4.0 exige que les sites web disposant de caisses en ligne surveillent les scripts tiers sur leurs pages de paiement.

Nous préconisons non seulement de surveiller, mais aussi de sécuriser ces scripts pour être totalement protégé. Nous avons écrit ici sur les risques liés au fait de ne sécuriser que les pages de paiement et non l'ensemble du site web. Les attaquants s'adapteront simplement et, avec un délai de réaction rapide, des attaques sont susceptibles de se produire quand même.

Sachez qu'en utilisant cside, l'intégralité de votre site web est protégée.

Vous pouvez commencer gratuitement et être sécurisé en quelques minutes.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Réserver une démonstration

Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité

Détection du partage de compte : comment combler la lacune d'application que les limites de sessions simultanées manquent

Les limites de sessions simultanées signalent le cas évident.

Comment Bloquer Applebot-Extended sur Votre Site Web

Applebot-Extended est le crawler d'entraînement IA d'Apple qui alimente Apple Intelligence. Découvrez comment il diffère d'Applebot et comment vous désinscrire via robots.txt.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur la surveillance des scripts tiers sur des domaines de casino

Comment surveiller les scripts tiers sur 100 domaines de casino ou plus

Guide pratique pour surveiller les scripts tiers sur 100+ domaines de casino : prolifération, alertes inter-domaines et mise à l'échelle de cside.

Risques de sécurité de l'IA agentique pour les sites web : confidentialité, conformité et détection

Les navigateurs d'IA agentique contournent le consentement aux cookies, exécutent de vrais scripts JavaScript et créent des lacunes de conformité RGPD invisibles pour la détection de bots au niveau CDN.

Illustration d'un système neuronal de détection de bots en deux étapes séparant les sessions de navigateur humaines et celles des bots

Attraper les bots qui ne veulent pas l'être : au cœur d'une pile de détection neuronale à deux étages

Comment une pile neuronale à deux étages attrape navigateurs furtifs, scrapers résidentiels et agents LLM qui déjouent l'empreinte, et ses limites.

Comment Bloquer DeepSeekBot sur Votre Site Web

DeepSeekBot explore votre site pour une entreprise d'IA chinoise. Découvrez comment le bloquer avec robots.txt, des règles d'IP, et les vrais risques de souveraineté des données qu'il pose.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur la conformité des scripts auprès de la Malta Gaming Authority

Conformité Malta Gaming Authority et sécurité des scripts côté client : ce que les opérateurs agréés MGA doivent couvrir

Les règles MGA exigent une plateforme sécurisée et auditable. Le JavaScript tiers est une lacune que la plupart des opérateurs n'ont pas auditée.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les attaques de scripts tiers contre les plateformes iGaming

Attaques de scripts tiers sur les plateformes iGaming en 2026 : la nouvelle surface d'attaque que les opérateurs négligent

JavaScript tiers est la principale surface d'attaque non surveillée en iGaming. Les sept classes d'attaque et pourquoi les outils les manquent.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les pixels non autorisés dans les jeux et la responsabilité RGPD

GDPR et jeux d'argent en ligne : pourquoi les pixels non autorisés créent un problème de double responsabilité

Les pixels non autorisés sur les sites de jeux d'argent créent une responsabilité GDPR et des suspensions de comptes publicitaires à la fois.

Conformité HIPAA et technologies de suivi web : le guide pour les établissements de santé

L'OCR du HHS a statué que les pixels de suivi et les scripts tiers sur les sites web de santé peuvent exposer des PHI. Ce que les entités couvertes doivent faire pour se conformer.