Hackers utilisent Stripe et Google Tag Manager pour voler les données bancaires
Une attaque sophistiquée : des cybercriminels exploitent des services de confiance comme Stripe et Google Tag Manager pour dérober les données de cartes bancaires. Comment ça marche et comment vous protéger ?
Cette histoire illustre l'une des menaces les plus insidieuses du commerce électronique. Les criminels n'ont pas utilisé d'outils complexes ni d'attaques directes — ils ont exploité notre confiance envers les services réputés.
Les victimes : petits et grands commerces
Stripe est la plateforme de paiement américaine géante utilisée par des millions de boutiques en ligne pour accepter les cartes bancaires. Comme PayPal ou Skrill, mais plus puissante et dominante chez les e-commerçants modernes.
Le problème ? Les serveurs de Stripe (et services similaires) sont fiables par défaut. Les boutiques autorisent les connexions depuis Stripe sans vérification ni doute. C'est précisément cette confiance que les hackers ont exploitée.
L'attaque : comment ça marche exactement ?
Les criminels ont utilisé un Skimmer (malware qui capture silencieusement les données bancaires pendant l'achat) — mais d'une manière extrêmement intelligente.
Les étapes :
Étape 1 : Stocker le code malveillant
Le hacker crée un compte Stripe fictif et stocke le code malveillant dans ses métadonnées internes. Ce compte paraît totalement légitime.
Étape 2 : Installer le piège
Le hacker accède à la boutique cible (via une faille ou un employé corrompu) et installe Google Tag Manager (GTM — outil populaire que les boutiques utilisent pour ajouter du code d'analyse et de publicités sans toucher au code principal) avec un script empoisonné.
Étape 3 : Le vol silencieux
Quand le client accède à la page de paiement :
-
Google Tag Manager s'active
-
Il récupère le code malveillant depuis le compte Stripe fictif
-
Le Skimmer s'attache au bouton « Finaliser l'achat »
-
Quand le client clique, le code vole :
- Le numéro de carte
- La date d'expiration
- Le code CVV (les trois chiffres au dos)
- Le nom du titulaire
- L'adresse de facturation
- L'email et le téléphone
-
Les données sont chiffrées et stockées temporairement dans le navigateur
-
Elles sont ensuite envoyées à Stripe, mais déguisées en requêtes légitimes de clients
L'astuce géniale :
Le code malveillant ne se charge pas depuis le serveur du hacker — il se charge depuis Stripe et Google Tag Manager, des services de confiance. Les boutiques ne les soupçonnent pas. Et les données volées transitent par les mêmes services.
De plus, le hacker peut mettre à jour le code malveillant sans jamais toucher à nouveau la boutique — simplement en modifiant les informations du compte Stripe fictif.
La même technique avec Google Firestore
Sansec (entreprise spécialisée en cybersécurité) a découvert une variante de cette même attaque, mais au lieu de Stripe, les hackers ont utilisé Google Firestore (base de données de Google). Même principe : utiliser un service de confiance comme canal secret.
Combien de temps l'attaque a-t-elle duré ?
Le compte Stripe fictif contenant le code malveillant a été créé le 24 décembre 2025. Cela signifie que l'attaque était active depuis au moins un mois complet avant d'être découverte. Le nombre exact de boutiques compromises n'a pas été divulgué.
Stripe elle-même n'a pas fait d'annonce publique sur l'incident pour le moment.
Comment vous protéger ?
Si vous êtes propriétaire d'une boutique :
- Auditez Google Tag Manager : Faites vérifier par un spécialiste tous les Tags actifs sur votre site. Quelqu'un a trouvé un tag inconnu ? Supprimez-le immédiatement.
- Vérifiez les accès : Qui a accès à GTM et Stripe ? Supprimez les accès inutiles.
- Mettez à jour : Assurez-vous que votre plateforme (Shopify, WooCommerce, etc.) est à jour.
Si vous êtes client :
- Cartes virtuelles : Utilisez des cartes à usage unique pour vos achats en ligne. Des banques marocaines comme la BMCE et Attijariwafa commencent à proposer ce service.
- Surveillez votre compte : Après chaque achat dans une boutique inconnue, vérifiez votre relevé bancaire.
- Cartes limitées : Si possible, utilisez une carte avec une limite basse pour les achats en ligne.
Ce que cela signifie pour vous
Cette attaque reflète l'une des tendances les plus dangereuses : les criminels ne veulent plus attaquer la sécurité directement — ils veulent exploiter la confiance. Les e-commerçants marocains, surtout les petits et moyens, utilisent massivement Stripe et Google Tag Manager. La sécurité numérique n'est pas qu'une responsabilité des plateformes — c'est une responsabilité partagée entre le propriétaire de la boutique et le client. Les comptables et indépendants qui travaillent avec des boutiques en ligne doivent comprendre ces risques. Et les employés des banques et entreprises qui manipulent des données sensibles : c'est un rappel que la confiance seule ne suffit pas — il faut des outils et des vérifications en place.
Articles liés
infrastructureSouveraineté et IA : comment l'infrastructure des entreprises se réinvente
Les données explosent, l'IA réclame une puissance de calcul massive. Les entreprises marocaines font face au même dilemme : souveraineté ou performance ?
securityAnthropic étend son programme de sécurité à 150 entreprises dans 15 pays
Anthropic déploie Project Glasswing auprès de 150 nouvelles entreprises en secteurs critiques (énergie, santé). Mythos, son modèle IA avancé, détecte les failles avant les hackers.
securityFaille critique Oracle PeopleSoft : ShinyHunters exploite une 0-day
Une vulnérabilité non documentée (CVE-2026-35273) affectant Oracle PeopleSoft a été massivement exploitée. Le groupe ShinyHunters revendique le vol de données sur plus de 300 instances.
enterpriseReady For IT : DSI, RSSI et DPO unissent leurs forces face à l'IA
À Monaco, 400 décideurs IT ont exploré comment déployer l'IA sans risques. Les fonctions de sécurité et de gouvernance se rapprochent pour maîtriser les enjeux.