C’est une affaire qui touche un acteur majeur de l’écosystème e-commerce, et c’est justement ce qui a permis aux attaquants d’exploiter la faille aussi librement.
Stripe, le géant américain du paiement en ligne, est utilisé par des millions de boutiques pour traiter leurs transactions. Leurs serveurs autorisent donc par défaut les communications avec son API, sans filtrage ni suspicion.
C’est précisément cette confiance que les attaquants ont exploitée, selon Sansec. Leur outil : un skimmer, un malware conçu pour intercepter silencieusement les données bancaires saisies lors d’un achat en ligne.
Celui-ci ne se charge jamais depuis un domaine contrôlé par les pirates. Le code malveillant, les données volées, tout transite par deux domaines que l’immense majorité des boutiques considère comme fiables : Google Tag Manager et Stripe donc.
Comment a été mise en place l’attaque ?
Concrètement, l’attaquant commence par stocker le code malveillant dans les métadonnées d’un faux compte client Stripe. Il plante ensuite un conteneur Google Tag Manager (GTM) piégé sur les boutiques ciblées. Un type de balise que les gestionnaires de sites utilisent couramment pour déployer des scripts d’analyse ou de publicité sans toucher au code source.
Quand un client arrive sur une page de paiement, le conteneur GTM s’active et va chercher le script malveillant directement dans les métadonnées du compte Stripe. Le skimmer se greffe alors sur le bouton de validation du panier et au clic, il capture les données de carte bancaire et de facturation, les encode, et les stocke temporairement dans le navigateur.
Numéro de carte, date d’expiration, code CVV, nom du titulaire, adresse de facturation, email et numéro de téléphone. Tout est capturé puis envoyé dans un second temps vers Stripe, le tout déguisé en profils clients fictifs.
L’attaquant peut en outre mettre à jour le skimmer à tout moment en modifiant les métadonnées Stripe, sans avoir à retoucher la boutique compromise.
Sansec a également identifié une variante utilisant Google Firestore à la place de Stripe, avec le même principe : abuser d’un service de confiance comme canal discret.
Une attaque de plusieurs mois
Dans l’exemple présenté par les équipes de Sansec, le compte Stripe hébergeant le skimmer a été créé le 24 décembre 2025, ce qui suggère que la campagne est active depuis au moins cette date. Le nombre exact de boutiques compromises n’a pas été précisé, et Stripe n’avait pas communiqué publiquement sur l’incident au moment de la publication.
Pour se protéger, Sansec recommande d’auditer les conteneurs Google Tag Manager actifs sur le site et de vérifier l’absence de balises inconnues injectant du code externe.
Du côté des acheteurs, la règle habituelle s’applique : favoriser les cartes virtuelles à usage unique pour les achats en ligne, et surveiller ses relevés bancaires après toute transaction sur une boutique inconnue.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Pour ne rien manquer de l’actualité, suivez Numerama sur Google !