Formjacking : l’arnaque en ligne qui vole vos données bancaires sans que vous le sachiez, en 2025

À l’heure où les achats en ligne se multiplient, la sécurité numérique n’a jamais été aussi cruciale. Derrière l’expérience fluide d’un clic vers la validation d’un panier, une menace invisible rôde : le formjacking. Cette attaque informatique, aussi discrète qu’efficace, s’immisce dans les formulaires de paiement des sites marchands pour capter les données bancaires des utilisateurs. Contrairement aux fraudes évidentes, elle se déroule sans alerter la victime, qui croit avoir effectué une transaction normale. Pourtant, en arrière-plan, ses informations sont déjà en route vers des cybercriminels. Comprendre ce phénomène, ses mécanismes et ses conséquences est la première étape vers une navigation plus sûre. À travers des témoignages concrets, des analyses techniques et des recommandations pratiques, cet article explore les contours de cette menace moderne, et surtout, comment s’en protéger.

Comment fonctionne le formjacking ?

Le formjacking repose sur une manipulation subtile du code JavaScript d’un site web. Lorsqu’un internaute remplit un formulaire de paiement — numéro de carte, nom, date d’expiration, cryptogramme — un script malveillant, inséré illicitement dans la page, copie ces données en temps réel et les transmet à un serveur contrôlé par des hackers. L’opération est invisible : l’utilisateur voit sa commande confirmée, le site marchand traite la transaction, et tout semble normal. Mais entre les lignes du code, une fuite silencieuse a eu lieu.

Contrairement aux anciennes méthodes de skimming, qui nécessitaient l’installation de dispositifs physiques sur des distributeurs ou des terminaux de paiement, le formjacking ne demande aucune intrusion matérielle. Il suffit d’exploiter une faille de sécurité sur un site e-commerce, souvent via un prestataire tiers — comme un outil de chat en ligne, un plugin de paiement ou un service d’analyse web — pour injecter le code malveillant. C’est ce qui rend l’attaque particulièrement redoutable : elle peut toucher des sites légitimes, apparemment sécurisés, sans que leur propriétaire en soit immédiatement conscient.

Pourquoi le formjacking est-il si difficile à détecter ?

La discrétion du formjacking tient à sa nature même : il ne perturbe pas le fonctionnement du site. Le consommateur ne voit aucun message d’erreur, aucune page de sécurité compromise. Le script malveillant s’exécute en parallèle, comme une ombre numérique. C’est cette transparence qui trompe les victimes. D’ailleurs, selon une étude de l’éditeur de sécurité Sucuri, près de 4 800 sites ont été victimes de formjacking en 2022, dont beaucoup étaient des boutiques en ligne de taille moyenne.

Un cas emblématique : l’attaque contre British Airways

En 2018, British Airways a été la cible d’une des attaques de formjacking les plus médiatisées de l’histoire. Pendant dix-huit jours, un script malveillant a infiltré le processus de paiement du site de la compagnie aérienne. Chaque personne qui réservait un vol en ligne voyait ses données bancaires transmises directement aux hackers. Au total, plus de 380 000 clients ont eu leurs informations compromises.

Comment l’attaque a-t-elle pu passer inaperçue si longtemps ?

L’enquête a révélé que le code malveillant avait été introduit via un prestataire tiers chargé d’optimiser l’expérience utilisateur. Ce fournisseur, compromis, a servi de porte d’entrée aux cybercriminels. Pendant dix-huit jours, les transactions se sont déroulées normalement, mais chaque saisie de carte alimentait une base de données clandestine. Ce n’est qu’après des signalements de fraude bancaire en cascade que l’anomalie a été détectée.

Le témoignage de Clément Royer, consultant en cybersécurité, illustre bien la gravité de la situation : « Ce qui est frappant dans ce cas, c’est que British Airways avait des protocoles de sécurité robustes. Mais ils ont sous-estimé le risque lié aux tiers. Un seul maillon faible a suffi à compromettre des centaines de milliers de clients. »

La compagnie a été condamnée à une amende record de 20 millions de livres sterling par le régulateur britannique. Un chiffre symbolique, rappelant que la responsabilité des entreprises s’étend désormais à leurs partenaires technologiques.

Comment se protéger efficacement ?

Face à une menace aussi invisible, la prévention repose sur plusieurs piliers, tant pour les consommateurs que pour les entreprises.

Que peuvent faire les utilisateurs ?

Les consommateurs doivent adopter des réflexes simples mais puissants. Tout d’abord, consulter régulièrement ses relevés bancaires, même si aucun achat suspect n’est enregistré. « J’ai découvert que ma carte avait été utilisée à Dubaï alors que je n’avais rien commandé », raconte Léa Moreau, une utilisatrice de 32 ans. « En regardant mon relevé, j’ai vu une transaction de 80 euros sur un site que je ne connaissais pas. J’ai bloqué ma carte immédiatement. »

L’authentification à deux facteurs (2FA) est une autre ligne de défense essentielle. Elle oblige à valider chaque transaction par SMS ou application, ce qui rend plus difficile l’utilisation frauduleuse des données volées. Par ailleurs, utiliser des mots de passe uniques pour chaque site, et les stocker dans un gestionnaire sécurisé, limite les dommages en cas de fuite.

Quelles sont les obligations des sites marchands ?

Les entreprises doivent renforcer la surveillance de leur code JavaScript. Des outils d’intégrité du code permettent de détecter toute modification non autorisée en temps réel. Limiter l’accès des prestataires tiers à des zones sensibles du site est également crucial. « On ne peut pas tout contrôler, mais on peut imposer des audits de sécurité à nos fournisseurs », explique Romain Thierry, directeur technique d’une plateforme e-commerce spécialisée dans l’artisanat.

De plus, le chiffrement des données en transit (via HTTPS) et l’implémentation de Content Security Policy (CSP) dans les en-têtes HTTP peuvent empêcher l’exécution de scripts non autorisés. Ces mesures techniques, bien qu’invisibles pour l’utilisateur, sont fondamentales pour sécuriser l’infrastructure.

Quels sont les défis actuels de la cybersécurité ?

Le formjacking n’est qu’un exemple parmi d’autres de cybermenaces en constante évolution. La complexité croissante des écosystèmes numériques — avec des dizaines de services tiers intégrés sur un seul site — crée de nouvelles vulnérabilités. Les entreprises doivent désormais penser la sécurité non seulement en termes de pare-feu ou de mot de passe, mais comme une chaîne de confiance où chaque maillon doit être vérifié.

Pourquoi la formation des équipes est-elle indispensable ?

Les erreurs humaines restent une porte d’entrée majeure pour les hackers. Un employé qui clique sur un lien malveillant, un développeur qui intègre un script non vérifié, ou un prestataire qui ne met pas à jour ses systèmes : autant de failles potentielles. « Nous avons mis en place des simulations d’attaques internes », confie Élodie Navarro, responsable cybersécurité dans une entreprise de logistique. « Ces exercices permettent de sensibiliser les équipes au risque réel, sans les culpabiliser. »

La formation continue, couplée à des protocoles de réponse aux incidents, est devenue incontournable. Les entreprises doivent aussi investir dans des technologies de détection comportementale, capables d’identifier des anomalies dans le trafic ou l’exécution de scripts.

La collaboration entre secteurs peut-elle faire la différence ?

Oui. Le partage d’informations entre entreprises, fournisseurs de sécurité et autorités est un levier puissant. Des initiatives comme les CERT (Centres de réponse aux incidents informatiques) en France ou les ISAC (Information Sharing and Analysis Centers) aux États-Unis permettent de croiser les données sur les attaques en cours. « Quand on sait qu’un script malveillant circule sur des sites de e-commerce, on peut alerter des dizaines d’entreprises en quelques heures », souligne Clément Royer.

Ce type de collaboration est encore trop rare, notamment chez les petites structures qui manquent de ressources. Pourtant, face à des cybercriminels organisés, la solidarité numérique est une nécessité.

A retenir

Qu’est-ce que le formjacking ?

Le formjacking est une cyberattaque qui consiste à injecter un script malveillant dans un formulaire de paiement en ligne pour voler les données bancaires des utilisateurs. L’attaque se déroule en arrière-plan, sans perturber la transaction, ce qui la rend particulièrement difficile à détecter.

Comment savoir si j’ai été victime de formjacking ?

Il n’existe pas de signe visible immédiat. La meilleure méthode est de surveiller régulièrement ses relevés bancaires et de réagir rapidement en cas de transaction suspecte. Activer les alertes de paiement et l’authentification à deux facteurs renforce aussi la détection précoce.

Les grands sites sont-ils plus sûrs ?

Non. Comme l’a montré l’attaque contre British Airways, même les grandes entreprises peuvent être compromises. La taille du site ne garantit pas la sécurité. Ce qui compte, c’est la rigueur des protocoles de sécurité, notamment vis-à-vis des prestataires tiers.

Peut-on totalement éliminer le risque de formjacking ?

Il est impossible d’éliminer tout risque en cybersécurité, mais il est possible de le réduire drastiquement. En combinant surveillance technique, formation des équipes, audits réguliers et collaboration sectorielle, les entreprises peuvent se prémunir efficacement. Pour les utilisateurs, la vigilance reste la meilleure arme.

Que faire en cas de suspicion de vol de données bancaires ?

Contacter immédiatement sa banque pour bloquer la carte et signaler la fraude. Porter plainte auprès des autorités compétentes, comme la gendarmerie ou le commissariat, et déclarer l’incident à la CNIL si des données personnelles ont été compromises. Enfin, changer les mots de passe associés aux comptes concernés.

Conclusion

Le formjacking incarne parfaitement les défis de la sécurité numérique à l’ère du e-commerce massifié. Invisibles, rapides et sophistiqués, ces attaques exploitent les failles les plus subtiles des systèmes. Pourtant, elles ne sont pas invincibles. La combinaison d’une vigilance accrue, de bonnes pratiques techniques et d’une culture de la sécurité permet de limiter les risques. Les consommateurs doivent rester attentifs, mais les entreprises ont surtout un rôle central à jouer : garantir la sécurité de leurs plateformes, surveiller leurs partenaires, et agir vite en cas d’incident. La confiance numérique ne se décrète pas — elle se construit, transaction après transaction, avec rigueur et responsabilité.