Une faille majeure dans l’écosystème des paiements en ligne a été exploitée par des cybercriminels pour intercepter discrètement les données bancaires de millions d’utilisateurs, selon Numerama. Dans un billet publié le 4 juin 2026, des chercheurs en cybersécurité de l’entreprise Sansec révèlent comment des pirates ont détourné les services de Stripe, géant américain des transactions en ligne, pour en faire une infrastructure de vol de données. Cette attaque, toujours en cours depuis fin décembre 2025, illustre la vulnérabilité des systèmes reposant sur une confiance aveugle dans des services tiers.

Ce qu'il faut retenir

  • Des pirates ont exploité une faille dans Stripe et Google Tag Manager pour voler des données bancaires depuis décembre 2025.
  • Un skimmer malveillant était injecté via les métadonnées d’un faux compte Stripe, puis récupéré par un conteneur Google Tag Manager piégé sur des sites marchands.
  • Les données volées (numéro de carte, CVV, adresse, email) étaient transmises via Stripe, déguisées en profils clients fictifs.
  • Le nombre exact de sites compromis n’a pas été communiqué, et Stripe n’a pas encore réagi publiquement.
  • Sansec recommande d’auditer les conteneurs Google Tag Manager et d’utiliser des cartes virtuelles pour limiter les risques.

Une attaque en cascade exploitant la confiance dans Stripe

L’attaque repose sur un mécanisme subtil : les pirates ont profité de la confiance quasi systématique que les sites e-commerce accordent à Stripe et à Google Tag Manager. Ces deux services, omniprésents dans l’écosystème du paiement en ligne, permettent aux sites marchands d’intégrer facilement des fonctionnalités sans modifier leur code source. Stripe, utilisé par des millions de boutiques, autorise par défaut les communications avec son API, sans filtrage ni vérification particulière. Une faille qui a offert aux attaquants un terrain de jeu idéal pour leurs activités malveillantes.

Concrètement, les cybercriminels ont créé un faux compte Stripe le 24 décembre 2025, dans lequel ils ont inséré un skimmer — un malware conçu pour intercepter silencieusement les données bancaires lors d’un achat. Leur objectif : rester indétectables en utilisant des canaux légitimes. « Le code malveillant, comme les données volées, transitent par des domaines considérés comme fiables par la majorité des sites », explique un porte-parole de Sansec. Un tour de passe-passe qui a permis à l’attaque de passer inaperçue pendant plusieurs mois.

Le scénario détaillé de l’intrusion

Le processus d’infection commence par l’injection du script malveillant dans les métadonnées du faux compte Stripe. Les pirates déploient ensuite un conteneur Google Tag Manager (GTM) piégé sur les sites ciblés. GTM est un outil largement utilisé par les gestionnaires de sites pour ajouter des scripts d’analyse ou de publicité sans toucher au code principal. Une fois activé, ce conteneur va chercher le skimmer directement dans les métadonnées du compte Stripe.

Lorsqu’un client arrive sur une page de paiement, le conteneur GTM s’exécute et injecte le script malveillant dans le flux de la transaction. Le skimmer se greffe alors sur le bouton de validation du panier. Au moment où l’utilisateur clique pour finaliser son achat, le malware capture l’intégralité des données bancaires : numéro de carte, date d’expiration, code CVV, nom du titulaire, adresse de facturation, email et numéro de téléphone. « Tout est capturé, puis encodé et stocké temporairement dans le navigateur avant d’être transmis via Stripe sous forme de profils clients fictifs », précise Sansec.

L’avantage pour les attaquants ? Ils peuvent mettre à jour le skimmer à tout moment en modifiant simplement les métadonnées du compte Stripe, sans avoir à retoucher les sites compromis. Une souplesse qui rend la détection encore plus complexe. Sansec a également identifié une variante de cette attaque utilisant Google Firestore à la place de Stripe, avec le même principe : abuser d’un service de confiance comme canal discret pour exfiltrer les données.

Une campagne toujours active et des répercussions inconnues

Selon les informations transmises par Sansec, la campagne malveillante est toujours active au moment de la publication. Le faux compte Stripe hébergeant le skimmer a été créé fin décembre 2025, suggérant que les pirates opèrent depuis au moins six mois. Le nombre exact de sites compromis n’a pas été dévoilé, pas plus que l’ampleur des données dérobées. Stripe n’a pas encore communiqué publiquement sur cet incident, laissant planer un doute sur l’étendue réelle de la faille.

Cette attaque s’inscrit dans la lignée des techniques Magecart, une méthode prisée des cybercriminels pour voler des données de paiement en ligne. Ces attaques consistent à injecter un script malveillant sur un site marchand afin de récupérer les informations saisies par les utilisateurs. La particularité ici réside dans l’utilisation détournée de services légitimes comme Stripe et Google Tag Manager, rendant la détection d’autant plus ardue pour les victimes.

Comment se protéger contre ce type d’attaque ?

Face à cette menace, Sansec formule plusieurs recommandations pour les sites e-commerce. La première consiste à auditer régulièrement les conteneurs Google Tag Manager afin de vérifier l’absence de balises inconnues ou suspectes injectant du code externe. « Les balises non autorisées ou non documentées doivent être supprimées sans délai », souligne l’équipe de chercheurs. Une vigilance accrue sur les comptes Stripe est également recommandée, notamment en contrôlant les métadonnées et les profils clients créés.

Du côté des utilisateurs, les bonnes pratiques en matière de sécurité en ligne restent de mise. Sansec conseille de privilégier les cartes virtuelles à usage unique pour les achats en ligne, limitant ainsi les risques en cas de fuite de données. Il est également recommandé de surveiller attentivement ses relevés bancaires après toute transaction sur une boutique inconnue, et de signaler immédiatement toute activité suspecte à sa banque.

Et maintenant ?

Cette révélation intervient alors que les attaques ciblant les paiements en ligne se multiplient, poussant les acteurs du secteur à renforcer leurs protocoles de sécurité. Stripe, de son côté, n’a pas encore réagi publiquement, mais une mise à jour de ses recommandations ou une correction technique pourrait être annoncée dans les prochains jours. Les prochaines semaines seront déterminantes pour évaluer l’impact réel de cette faille et les mesures mises en place pour y remédier. En attendant, experts et victimes potentielles restent en alerte.

Cette affaire rappelle une fois de plus l’importance d’une approche proactive en matière de cybersécurité. Comme le souligne Sansec, « la confiance dans les services tiers ne doit pas se substituer à une vigilance constante ». Les sites marchands et les utilisateurs doivent désormais composer avec une menace qui, loin d’être isolée, s’inscrit dans un paysage de cybercriminalité en constante évolution.

Un skimmer est un logiciel malveillant conçu pour intercepter discrètement les données bancaires saisies par un utilisateur sur un site web. Dans cette attaque, le skimmer était injecté via un faux compte Stripe et récupéré par un conteneur Google Tag Manager piégé. Il capturait les informations lors de la validation d’un achat et les transmettait aux pirates via Stripe, sous forme de profils clients fictifs.

Non, les services Google Tag Manager et Stripe ne sont pas vulnérables en eux-mêmes. L’attaque repose sur une exploitation malveillante de leur fiabilité perçue. Les pirates ont utilisé ces plateformes légitimes comme canaux de transmission pour leurs données volées, profitant de la confiance que leur accordent les sites marchands. Leur sécurité n’est donc pas remise en cause, mais leur utilisation doit être surveillée de près.