abimagestudio - stock.adobe.com

Actualites

Vols de données CB : la menace persistante des skimmers

Ces implants logiciels font bien moins parler d’eux qu’en 2018 après la compromission du site Web de British Airways. Pour autant, la menace reste bien présente, tapie parfois longtemps avant d’être débusquée.

Valéry Rieß-Marchive
par
Publié le: 23 déc. 2025

Ce 19 décembre 2025, OUTDOORsmart! qui opère le site Web Campfire Collective, adresse des notifications à ses clients. Dans celles-ci, il explique avoir été alerté, le 3 novembre, « d’activités inhabituelles » sur ce site.

L’enquête est aussitôt lancée, « avec l'aide de spécialistes tiers en cybersécurité ». Elle permettra d’identifier « la présence d'un code non autorisé capable de capturer les informations des cartes de paiement utilisées lors d'achats sur le site web Campfire Collective ». C’est ce que l’on appelle un skimmer. Il a vraisemblablement été injecté sous la forme de code JavaScript. Mais pas récemment.

Car l’enquête réservait une surprise, de taille : « la capture non autorisée d'informations de cartes de paiement pourrait avoir eu lieu entre le 15 février 2024 et le 4 novembre 2025 ». Plus d’un an et demi sans avoir été découverte.

Cette menace n’est pas nouvelle et se rappelle régulièrement à notre souvenir… pour ensuite retomber trop rapidement dans l’oublie.
À la fin de l’été 2018, British Airways reconnaissait ainsi le vol de données de cartes bancaires de 380 000 de ses clients, utilisateurs de son site Web et de son application mobile. RiskIQ pointait alors un suspect, qui allait faire largement parler de lui : Magecart, dont on découvrirait plus tard qu’il ne s’agissait pas d’un seul groupe, mais de plusieurs, notamment à la suite d’une enquête conduite conjointement par RiskIQ et Flashpoint. 

Un déficit médiatique persistant

Au printemps 2020, Félix Aimé, alors analyste du sein du Great de Kaspersky, nous expliquait scanner « de l’ordre de 50 000 sites Web par jour, à la recherche d’anomalies, de redirections qui ne devraient pas être, etc. Tous les deux ou trois jours, je récupère des alertes ». 

Ces alertes, accessoirement, ne se limitent pas à des skimmers, mais concernent aussi « de la redirection publicitaire, des waterholes d’états, etc. ». C’était en fait même le point de départ de ses recherches, avant qu’il n’ajoute à ses outils d’analyse des sites d’e-commerce.

Fin mai 2020, Félix Aimé avait averti Bureau Vallée. L’enseigne avait réagi très vite, à la surprise du chercheur : « ils ont compris ce qui se passait, mais c’est excessivement rare que non seulement j’ai une réponse, mais celle-ci montre que mon alerte a été comprise ».

C’est d’ailleurs là qu’il identifiait un problème grave : le déficit de sensibilisation, de compréhension de la menace : ouvrir une boutique en ligne peut être fait rapidement et relativement aisément, notamment avec un Shopify, par exemple. Dès lors, il n’est pas rare que ceux qui opèrent un site d’e-commerce ne comprennent pas ce qui s’est passé lorsque leur site est compromis par un skimmer… ni ne sachent comment gérer l’incident, ne serait-ce que vis-à-vis de leurs clients.

À l’époque, Félix Aimé soulignait une menace « très répandue », mais donc méconnue. Plus de cinq ans plus tard, elle n’a pas disparue. 

Une menace toujours aussi présente

Recorded Future a identifié 2 951 domaines infectés avec des skimmers en juin 2025, puis plus de 3 340 le mois suivant. Selon Fortinet, ceux-ci « continuent de constituer la principale faiblesse de sécurité dans les environnements Magento, WooCommerce et Shopify ».

En octobre, Jscrambler soulignait la créativité des cybercriminels : « les pirates trouvent sans cesse de nouveaux moyens de contourner les protections mises en place par les défenseurs. Qu'il s'agisse d'obscurcir leur code, de compromettre des plugins, d'empoisonner les réseaux de diffusion de contenu (CDN) ou de compromettre la chaîne logistique, ces attaques continuent de nuire aux sites Web de commerce électronique ».

Parmi les dernières innovations, on retrouve ainsi… EtherHiding, une méthode consistant à cacher la charge malveillante dans des contrats intelligents sur une blockchain, avec, en bout de chaîne, un skimmer qui communique avec le serveur de commande et de contrôle du malfaiteur en s’appuyant sur WebSocket.

Pour approfondir sur Menaces, Ransomwares, DDoS