Pourquoi un WAF manque-t-il l'eskimming ?

Parce qu'un WAF voit le trafic vers vos serveurs, alors que l'eskimming envoie souvent les donnees directement du navigateur du client vers l'attaquant.

Comment cside bloque les skimmers de paiement ?

cside surveille les sessions reelles, inspecte les scripts et bloque le comportement malveillant avant que les donnees de carte quittent le navigateur.

Cas d'utilisation

Protection contre l'eskimming pour les pages checkout et les formulaires de paiement

Du JavaScript malveillant vole les donnees de carte directement dans le navigateur, avant que votre serveur ne traite la transaction. cside surveille chaque script dans les sessions reelles et bloque les skimmers avant leur execution.

Réserver une démonstration

Commencer gratuitement

Moniteur de page de paiement

Couverture des sessions navigateur reelles

Protege

Comportement des scripts Surveille

Champs de paiement Proteges

Exfiltration suspecte Bloquee

Qu'est-ce que l'eskimming ?

L'eskimming est une cyberattaque ou du JavaScript malveillant est injecte dans une page checkout ou de paiement afin de voler les donnees de carte pendant la saisie. Le script s'execute dans le navigateur du client et copie les numeros de carte, dates d'expiration, codes CVV et donnees de facturation en temps reel.

La transaction se termine normalement. Le client recoit sa confirmation et le commercant voit un paiement propre. Aucune alerte cote serveur ne se declenche. Lorsque les cartes volees apparaissent sur des marches criminels, l'attaque peut deja etre active depuis des semaines.

L'eskimming est aussi appele web skimming, digital skimming, formjacking ou attaque Magecart. Ces noms decrivent la meme menace dans la couche navigateur.

23M+ transactions en ligne ont ete compromises par des attaques Magecart actives en 2025, selon Mastercard. Source 416,582 cas d'usurpation d'identite aux Etats-Unis en 2023 ont ete facilites par des donnees de carte obtenues par skimming, selon Mastercard. Source 72,000+ sites web ont ete compromis par des attaques cote client au T2 2025, selon les recherches de cside. Source

Comment une attaque d'eskimming atteint votre checkout

Les attaquants n'ont pas toujours besoin d'acceder a votre code. La route la plus fiable passe souvent par les scripts tiers auxquels votre site fait deja confiance.

Attaques de chaine d'approvisionnement

Un pixel analytique, une librairie A/B testing, un tag manager ou un script CDN de confiance est compromis chez le fournisseur. Le script provient d'un domaine approuve, passe les controles CSP et se comporte normalement jusqu'a la page de paiement. L'attaque Polyfill.io a montre a quelle vitesse une dependance JavaScript de confiance peut devenir une route de distribution massive.

Injection directe

Les attaquants exploitent une faille CMS, un plugin non corrige ou des identifiants admin hameconnes pour ecrire du code malveillant dans les templates ou les configurations de tag manager. Le skimmer est alors servi comme code first-party.

Exposition de quatrieme partie

Vos scripts tiers chargent leurs propres dependances. Le Web Almanac 2025 a trouve que la profondeur mediane de chaine d'inclusion tierce est de 3, ce qui ajoute des points d'injection que vous n'avez peut-etre jamais audites.

L'angle mort commun a beaucoup de piles de securite

L'eskimming vit entierement dans le navigateur, cote client, pendant une session reelle. C'est precisement la ou beaucoup d'outils de securite arretent leur visibilite.

WAF et supervision serveur

Un WAF surveille le trafic vers vos serveurs. L'exfiltration d'eskimming part du navigateur du client vers un serveur controle par l'attaquant, donc votre WAF ne voit jamais cette connexion. ISACA explique pourquoi les outils cote fournisseur ont une visibilite limitee sur le risque runtime du client web.

Content Security Policy

CSP est utile, mais il approuve des domaines, pas ce que ces domaines servent. Un script compromis depuis un domaine autorise peut passer sans alerte.

Scanners externes periodiques

Les scanners s'executent depuis une infrastructure connue et selon un calendrier. Des attaquants sophistiques peuvent identifier l'origine de la requete et servir du code propre aux scanners tout en ciblant les vrais visiteurs.

Comment cside aide

Defense dans la couche navigateur sur des sessions reelles

cside combine la surveillance comportementale dans les sessions reelles avec l'inspection approfondie des scripts sur l'infrastructure cside.

Surveillance comportementale sur chaque session reelle

Un script leger cside observe le comportement de chaque script dans le navigateur : elements DOM consultes, champs lus et domaines externes contactes.

Inspection approfondie des scripts

cside recupere le contenu des scripts sur sa propre infrastructure pour une analyse alimentee par l'IA et compare les payloads a l'intelligence menace issue de sites surveilles.

Blocage avant impact

Lorsqu'un comportement malveillant est detecte, cside empeche le script de terminer son action. Le checkout continue et les donnees de carte ne quittent pas le navigateur.

Inventaire et detection de changements

cside inventorie les scripts en continu, suit les changements de payload et alerte lorsque des scripts, domaines ou changements d'en-tetes non autorises apparaissent.

Prevention de l'eskimming et PCI DSS 6.4.3 / 11.6.1

Les exigences PCI DSS 4.0.1 6.4.3 et 11.6.1 formalisent ce qu'un bon programme anti-eskimming devrait deja couvrir. PCI SSC confirme que les exigences datees futures sont entrees en vigueur le 31 mars 2025. PCI Shield de cside gere le flux de l'inventaire des scripts aux rapports hebdomadaires automatises.