Une faille de sécurité majeure affectant le plugin Funnel Builder, développé par FunnelKit, touche plus de 40 000 boutiques en ligne utilisant WooCommerce. Selon Futura Sciences, cette vulnérabilité, référencée CVE-2026-47100 et notée 8,7/10 sur l’échelle de gravité CVSS, permet à des attaquants d’intercepter les numéros de cartes bancaires saisis par les clients lors du paiement. L’exploitation de cette faille est active depuis la mi-mai 2026.
Ce qu'il faut retenir
- Plus de 40 000 boutiques en ligne utilisant le plugin Funnel Builder sont vulnérables à une faille permettant le vol de données bancaires.
- La faille, référencée CVE-2026-47100, a été documentée le 14 mai 2026 par l’équipe de cybersécurité Sansec.
- Un correctif existe depuis le 13 mai 2026 dans la version 3.15.0.3, mais plus de la moitié des sites concernés n’ont pas encore appliqué la mise à jour.
- Les attaquants exploitent un défaut d’authentification pour injecter du code malveillant via un champ prévu pour des scripts externes, comme Google Analytics.
- Les données volées incluent les numéros de carte, le CVV et les adresses de facturation, transmises en temps réel via un canal WebSocket.
Le plugin Funnel Builder est conçu pour personnaliser les pages de paiement des sites e-commerce utilisant WooCommerce, la solution d’e-commerce la plus répandue sur WordPress. La faille repose sur un endpoint AJAX non sécurisé, permettant à un attaquant d’écrire du code JavaScript dans les réglages globaux du plugin. Ce code, camouflé en script légitime de type Google Tag Manager, charge ensuite un fichier JavaScript externe via une adresse masquée en base64. Une fois exécuté dans le navigateur des clients, il récupère les informations saisies dans le formulaire de paiement avant de les transmettre à un serveur distant.
Cette méthode, connue sous le nom d’attaque Magecart en référence aux premières campagnes de ce type, présente une particularité : le code malveillant ne modifie aucun fichier du site. Il est stocké dans une option de la base de données WordPress, ce qui le rend indétectable par les scans classiques de fichiers. Autrement dit, les propriétaires des boutiques infectées ignorent souvent qu’ils sont compromis, tout comme leurs clients.
Une faille exploitable à distance sans compétences techniques avancées
L’exploitation de cette vulnérabilité ne nécessite pas de compétences techniques poussées. Un attaquant peut, à distance, injecter le code malveillant en exploitant simplement l’absence de vérification d’authentification sur l’endpoint AJAX. Une fois injecté, le code s’exécute automatiquement sur chaque page de paiement de la boutique, collectant les données bancaires des acheteurs sans laisser de trace visible. «
Ce type d’attaque est particulièrement sournois, car il ne laisse aucune empreinte classique dans les fichiers du site. Le code malveillant réside dans la base de données, ce qui le rend invisible aux outils de scan traditionnels.», explique Naïm Bada, rédacteur web spécialisé chez Futura Sciences.
Selon les statistiques publiées sur la page du plugin sur WordPress.org, seule la version 3.15.0.3 ou supérieure corrige la faille. Pourtant, à ce jour, plus de 48 % des installations actives utilisent encore une version vulnérable. Cette proportion s’explique en partie par le fait que les mises à jour automatiques ne sont pas toujours activées sur les sites, ou que les administrateurs retardent leur application par crainte de perturbations.
Des conséquences juridiques et financières lourdes pour les victimes
Pour les clients victimes de cette faille, les conséquences peuvent être lourdes. En cas de prélèvement frauduleux, le Code monétaire et financier (article L. 133-24), transposant la directive européenne DSP2, offre un délai de 13 mois pour signaler l’opération à sa banque et obtenir un remboursement. Ce délai est bien plus long que celui de huit semaines, qui ne s’applique qu’aux prélèvements autorisés dont le montant est contesté.
Pour les commerçants, les risques sont multiples : perte de confiance des clients, sanctions financières de la part des banques ou des plateformes de paiement, et atteinte à leur réputation. «
Les boutiques en ligne doivent impérativement mettre à jour leurs plugins et surveiller activement les éventuels signaux d’alerte, comme des scripts externes non reconnus dans leurs pages de paiement.», rappelle Suzanne Lapauze, secrétaire de rédaction chez Futura Sciences.
Cette attaque s’inscrit dans une tendance plus large de cybercriminalité ciblant les plateformes e-commerce. Les méthodes de type Magecart se multiplient, exploitant souvent des failles dans des plugins tiers pour contourner les sécurités traditionnelles. Les commerçants en ligne doivent donc adopter une approche proactive en matière de cybersécurité, sous peine de voir leur activité gravement compromise.
Vérifiez la version de votre plugin Funnel Builder dans l’onglet « Extensions » de votre tableau de bord WordPress. Si vous utilisez une version antérieure à la 3.15.0.3, votre site est vulnérable. Vous pouvez également effectuer un scan de vulnérabilités à l’aide d’outils comme Wordfence ou Sucuri pour détecter la présence de code malveillant dans votre base de données.
Contactez immédiatement votre banque pour faire opposition à votre carte et signaler la fraude. Conservez toutes les preuves de l’achat (e-mails de confirmation, captures d’écran) et déposez plainte auprès des autorités compétentes, comme la plateforme Phishing-Invest en France. Vous disposez d’un délai de 13 mois pour contester l’opération auprès de votre établissement bancaire.
