Netcrook Logo
👤 TRUSTBREAKER
🗓️ 21 Jan 2026  

Skimmers de cartes dans l’ombre : comment le JavaScript obscurci vide les paniers du e-commerce

Une campagne Magecart d’un an exploite du code caché et une infrastructure tentaculaire pour siphonner les données de paiement d’acheteurs en ligne sans méfiance.

Tout commence par un clic. Vous êtes sur le point d’acheter quelque chose en ligne, saisissant vos coordonnées bancaires sur une page de paiement familière. Mais, en coulisses, un voleur silencieux est déjà à l’œuvre : un code caché, injecté par des pirates, récolte discrètement vos données de paiement et les envoie vers des serveurs criminels. C’est le dernier chapitre de la saga Magecart : un réseau de cybercriminels qui a perfectionné l’art du skimming sur les sites de e-commerce.

En bref

  • De nouvelles attaques de type Magecart utilisent du JavaScript obscurci pour voler les données de cartes bancaires lors des paiements en ligne.
  • Le code malveillant est injecté via des scripts tiers hébergés sur des domaines tels que cc-analytics[.]com et pstatics[.]com.
  • Les chercheurs ont découvert plus de 30 domaines liés, indiquant une infrastructure coordonnée et persistante.
  • Les attaquants utilisent une logique de validation pour éviter de collecter des numéros de carte incomplets, ciblant ainsi les données à forte valeur.
  • Des outils de sécurité basiques et du renseignement open source ont permis de cartographier l’infrastructure et les méthodes de l’attaque.

Scripts de l’ombre et traque des carders numériques

La dernière campagne Magecart découverte par SDCyber Research est un véritable modèle de discrétion et de persistance. Les attaquants compromettent des sites e-commerce et injectent un extrait de JavaScript - souvent fortement obscurci - pour intercepter les données de paiement au moment de l’achat. Le script, généralement chargé depuis des domaines anodins comme cc-analytics[.]com/app.js, écoute les saisies de coordonnées bancaires et d’informations de facturation au fur et à mesure que les clients les entrent. Une fois capturées, les données sont exfiltrées via des requêtes POST en arrière-plan vers des serveurs contrôlés par les attaquants, tels que pstatics[.]com.

Ce qui rend cette campagne particulièrement dangereuse, c’est sa sophistication. La charge utile JavaScript est encodée à l’aide d’astuces d’encodage hexadécimal et de conversions de base, rendant sa détection difficile pour les scanners automatisés. Ce n’est qu’au prix d’une déobfuscation minutieuse - à l’aide de débogueurs et d’outils Python sur mesure - que les chercheurs ont pu révéler son véritable objectif : collecter et exfiltrer des informations de paiement sensibles.

Mais l’ingéniosité technique ne s’arrête pas là. Les attaquants ont mis en place une validation basique, ne volant que les numéros de carte de plus de 14 caractères. Cela réduit le bruit et permet d’éviter la détection liée à des données de test ou incomplètes.

Cartographier le web criminel

L’enquête ne s’est pas arrêtée à un seul domaine. En analysant les journaux réseau et en utilisant des outils gratuits comme URLScan et WHOIS, les chercheurs ont retracé les liens vers une infrastructure tentaculaire. Plus de 30 domaines - certains se faisant passer pour des services d’analytique ou de tableau de bord légitimes - ont été identifiés comme faisant partie du même réseau malveillant. L’utilisation répétée de conventions de nommage similaires et de charges utiles JavaScript identiques suggère soit un groupe de menaces coordonné, soit des outils criminels partagés.

Cette campagne se poursuit discrètement depuis au moins un an, prouvant que le vol de données de paiement reste à la fois lucratif et difficile à éradiquer. La capacité des attaquants à réutiliser leur infrastructure et à adapter leurs techniques témoigne d’un haut niveau de discipline opérationnelle.

Prendre une longueur d’avance sur les skimmers

Pour les défenseurs, la leçon est claire : la vigilance paie. Surveiller l’apparition de balises script inattendues sur les pages de paiement, analyser les requêtes réseau sortantes et vérifier l’intégrité des ressources tierces sont des étapes essentielles. Des outils publics peuvent fournir des indices précieux - à condition de savoir où chercher.

Cette variante de Magecart rappelle que la bataille pour la sécurité du e-commerce est permanente, et que même une hygiène de sécurité basique peut faire la différence. À mesure que les attaquants gagnent en sophistication, les défenseurs doivent eux aussi renforcer leurs moyens pour protéger les acheteurs des ombres qui rôdent dans leurs paniers.

WIKICROOK

  • Injection JavaScript : L’injection JavaScript est une méthode de piratage où des attaquants insèrent du code malveillant dans des applications web pour voler des données, détourner des sessions ou modifier le contenu.
  • Obfuscation : L’obfuscation consiste à déguiser du code ou des données afin de les rendre difficiles à comprendre, analyser ou détecter pour les humains ou les outils de sécurité.
  • Magecart : Magecart est un groupe de pirates qui injecte du code malveillant dans les pages de paiement en ligne pour voler les informations de carte bancaire des clients lors des transactions.
  • Requête POST : Une requête POST est une méthode HTTP permettant d’envoyer des données à un serveur, couramment utilisée dans les soumissions de formulaires et ciblée dans diverses cyberattaques.
  • Intégrité des sous-ressources : L’intégrité des sous-ressources vérifie les empreintes des ressources tierces, garantissant que les scripts et feuilles de style n’ont pas été altérés avant leur exécution par les navigateurs.
Magecart JavaScript Injection E-Commerce Security
TRUSTBREAKER TRUSTBREAKER
Zero-Trust Validation Specialist
← Back to news