Comment des hackers ont détourné Stripe pour masquer un vol de données bancaires

Nous générons pour vous un résumé de l’article grâce à une IA et nous le vérifions afin de nous assurer qu’il n’y ait aucune erreur, pour garantir l’authenticité de l’info.

Recevez tous les soirs un résumé de l’actu importante avec Le Récap’

C’est une affaire qui touche un acteur majeur de l’écosystème e-commerce, et c’est justement ce qui a permis aux attaquants d’exploiter la faille aussi librement.

Stripe, le géant américain du paiement en ligne, est utilisé par des millions de boutiques pour traiter leurs transactions. Leurs serveurs autorisent donc par défaut les communications avec son API, sans filtrage ni suspicion.

C’est précisément cette confiance que les attaquants ont exploitée, selon Sansec. Leur outil : un skimmer, un malware conçu pour intercepter silencieusement les données bancaires saisies lors d’un achat en ligne.

Celui-ci ne se charge jamais depuis un domaine contrôlé par les pirates. Le code malveillant, les données volées, tout transite par deux domaines que l’immense majorité des boutiques considère comme fiables : Google Tag Manager et Stripe donc.

Concrètement, l’attaquant commence par stocker le code malveillant dans les métadonnées d’un faux compte client Stripe. Il plante ensuite un conteneur Google Tag Manager (GTM) piégé sur les boutiques ciblées. Un type de balise que les gestionnaires de sites utilisent couramment pour déployer des scripts d’analyse ou de publicité sans toucher au code source.

Quand un client arrive sur une page de paiement, le conteneur GTM s’active et va chercher le script malveillant directement dans les métadonnées du compte Stripe. Le skimmer se greffe alors sur le bouton de validation du panier et au clic, il capture les données de carte bancaire et de facturation, les encode, et les stocke temporairement dans le navigateur.

Numéro de carte, date d’expiration, code CVV, nom du titulaire, adresse de facturation, email et numéro de téléphone. Tout est capturé puis envoyé dans un second temps vers Stripe, le tout déguisé en profils clients fictifs.

L’attaquant peut en outre mettre à jour le skimmer à tout moment en modifiant les métadonnées Stripe, sans avoir à retoucher la boutique compromise.

Sansec a également identifié une variante utilisant Google Firestore à la place de Stripe, avec le même principe : abuser d’un service de confiance comme canal discret.

Dans l’exemple présenté par les équipes de Sansec, le compte Stripe hébergeant le skimmer a été créé le 24 décembre 2025, ce qui suggère que la campagne est active depuis au moins cette date. Le nombre exact de boutiques compromises n’a