73032 fraudes potentiellement évitées pour 260829 sites testés ✔

Qu’est-ce que le FormJacking ? Cette arnaque invisible qui siphonne votre compte bancaire

le FormJacking

Imaginez la scène : vous êtes tranquillement installé dans votre canapé, vous trouvez une bonne affaire sur un site de e-commerce, vous sortez votre carte bancaire, vous validez la commande… et quelques jours plus tard, votre compte est vide. Non, ce n’est pas une mauvaise blague. C’est le scénario classique du FormJacking, une cyberarnaque aussi discrète qu’efficace, qui s’est imposée comme l’un des modes de fraude les plus redoutés du web.

Le FormJacking, c’est quoi exactement ?

FormJacking vient de la contraction de form (formulaire) et hijacking (détournement). Le principe est simple : un pirate informatique injecte discrètement un code malveillant (souvent en JavaScript) sur une page de paiement d’un site web. L’utilisateur, lui, ne voit rien. Il saisit ses informations bancaires comme d’habitude. Mais au lieu qu’elles soient envoyées uniquement au commerçant, elles partent en copie vers un serveur contrôlé par le pirate.

Autrement dit, vous remplissez un formulaire légitime… mais quelqu’un d’autre lit par-dessus votre épaule, de manière invisible.

Pourquoi c’est si difficile à repérer ?

Parce que rien ne paraît anormal. Le site fonctionne correctement, la commande est bien enregistrée, le produit est souvent livré. L’attaque est invisible pour l’utilisateur, et parfois même pour le commerçant. Le site lui-même peut ne pas se rendre compte tout de suite qu’il a été compromis.

Le FormJacking, c’est un peu comme une serrure trafiquée sur une porte parfaitement intacte : on ne s’aperçoit du vol qu’une fois à l’intérieur.

Comment les cybercriminels procèdent-ils ?

Pas besoin d’un blockbuster hollywoodien avec hackers en hoodie. Voici le scénario type d’un vol par FormJacking :

  1. Le cybercriminel identifie un site vulnérable – généralement une boutique en ligne avec des failles de sécurité.
  2. Il injecte un script malveillant sur la page de paiement, souvent en s’introduisant dans une bibliothèque JavaScript ou un plugin tiers.
  3. Dès qu’un internaute saisit ses informations bancaires (numéro, date d’expiration, CVC, nom), le script copie ces données et les envoie à un serveur pirate.
  4. L’internaute valide sa commande… et ne se doute de rien.

Un exemple de renom ?
British Airways en 2018. L’entreprise a été victime de FormJacking pendant plus de deux semaines. Résultat : les données de 380 000 clients sont parties entre de mauvaises mains.

Pourquoi cette arnaque explose-t-elle ?

Trois raisons principales expliquent la montée en puissance du FormJacking :

  • La généralisation des achats en ligne : chaque jour, des millions de paiements sont effectués sur des milliers de sites différents.
  • Des sites e-commerce vulnérables : toutes les entreprises, même les plus sérieuses, peuvent être la cible d’un piratage si leurs modules de paiement ou plugins ne sont pas à jour.
  • Un procédé peu coûteux pour les pirates : pas besoin de matériel physique, tout se passe à distance. Et contrairement à d’autres méthodes (phishing, ransomware…), le FormJacking ne nécessite aucun contact avec la victime.

Quels sont les risques pour les consommateurs ?

Le risque principal, vous l’aurez deviné, c’est la fuite de vos données bancaires. Mais ce n’est pas tout :

  • Retraits frauduleux en cascade.
  • Revente de vos informations sur le dark web.
  • Parfois, usurpation d’identité si d’autres données personnelles ont aussi été captées.

Et le pire dans tout ça ? Vous ne vous en rendrez peut-être compte que plusieurs jours plus tard, une fois que le mal est fait.

Que faire si on a été victime ?

Si vous pensez avoir été victime de FormJacking :

  1. Contactez votre banque sans attendre pour faire opposition et bloquer les paiements futurs.
  2. Portez plainte auprès des services de police ou gendarmerie.
  3. Signalez l’incident sur le site cybermalveillance.gouv.fr pour obtenir de l’aide.

Un phénomène qui évolue rapidement

Le FormJacking n’est que la face visible d’un iceberg numérique. Il illustre l’ingéniosité des escrocs, capables de détourner une opération banale — remplir un formulaire — en véritable opération de piratage invisible. Selon la Banque de France, les fraudes aux moyens de paiement ont atteint 1,2 milliard d’euros en 2023.

Et l’histoire ne s’arrête pas là. Le FormJacking évolue, se perfectionne. Certains scripts sont maintenant capables de passer entre les mailles des antivirus et des protections anti-injection.

 

Ghislain Riondet
Ghislain Riondet

Fondateur du site Verifsites.com, Ghislain Riondet est un entrepreneur, spécialisé dans les annuaires et solutions numériques pour les entreprises. Il déniche et partage les nouvelles arnaques, techniques signalées sur la plateforme.

Linkedin Facebook Whatsapp
VerifSites vous aide à faire le bon choix

Profitez de notre outil efficace pour vérifier la fiabilité d’un site web. Entrez une URL et vérifiez le score de confiance du site web !

Inscrivez votre entreprise facilement

Vous êtes une entreprise à la recherche de visibilité ? Inscrivez votre site gratuitement & en quelques clics seulement sur VerifSites.

Ajouter un site
Cliente qui paie sur un site internet
Vérifiez la fiabilité d'un site web
  • Google Chrome

« Avant d’acheter, vérifiez. » L'arme ultime contre les arnaqueurs en ligne !

Installer l'extension