Dans un billet de blog publié le 4 juin 2026, les chercheurs en sécurité de Sansec racontent comment des pirates informatiques sont parvenus à détourner Stripe pour en faire leur propre infrastructure de vol de données bancaires.
Cette situation concerne un acteur clé de l’écosystème e-commerce, permettant ainsi aux attaquants d’exploiter la faille avec une grande liberté.
Stripe, le géant américain du paiement en ligne, est utilisé par des millions de boutiques pour traiter leurs transactions. Les serveurs de Stripe autorisent par défaut les communications avec son API, sans filtrage ni suspicion.
Les attaquants ont exploité cette confiance, selon Sansec. Leur outil : un skimmer, un malware conçu pour intercepter silencieusement les données bancaires saisies lors d’un achat en ligne.
Ce skimmer ne se charge jamais depuis un domaine contrôlé par les pirates. Le code malveillant et les données volées transitent par deux domaines que la majorité des boutiques considèrent comme fiables : Google Tag Manager et Stripe.
Comment a été mise en place l’attaque ?
Concrètement, l’attaquant commence par stocker le code malveillant dans les métadonnées d’un faux compte client Stripe. Il implante ensuite un conteneur Google Tag Manager (GTM) piégé sur les boutiques ciblées, un type de balise couramment utilisé pour déployer des scripts d’analyse ou de publicité sans toucher au code source.
Lorsque le client accède à une page de paiement, le conteneur GTM s’active et récupère le script malveillant depuis les métadonnées du compte Stripe. Le skimmer se greffe alors sur le bouton de validation du panier et, au clic, il capture les données de carte bancaire et de facturation, les encode et les stocke temporairement dans le navigateur.
Les informations capturées incluent le numéro de carte, la date d’expiration, le code CVV, le nom du titulaire, l’adresse de facturation, l’email et le numéro de téléphone. Ces données sont ensuite envoyées vers Stripe, déguisées en profils clients fictifs.
L’attaquant peut mettre à jour le skimmer à tout moment en modifiant les métadonnées Stripe, sans avoir besoin d’intervenir sur la boutique compromise.
Une attaque de plusieurs mois
Selon les équipes de Sansec, le compte Stripe hébergeant le skimmer a été créé le 24 décembre 2025, suggérant que la campagne est active depuis cette date. Le nombre exact de boutiques compromises n’a pas été précisé, et Stripe n’avait pas communiqué publiquement sur l’incident au moment de la publication.
Pour se protéger, Sansec recommande d’auditer les conteneurs Google Tag Manager actifs sur les sites et de vérifier l’absence de balises inconnues injectant du code externe.
Les acheteurs sont également conseillés de privilégier les cartes virtuelles à usage unique pour les achats en ligne et de surveiller leurs relevés bancaires après toute transaction sur une boutique inconnue.
Source : Sansec
