Le formjacking est un danger invisible, qui s’infiltre dans le code de sites d’e-commerce. Cette arnaque, dont certaines sociétés renommées ont été victimes en 2018, est indétectable par le consommateur, qui se fait dérober ses données personnelles lors d’une opération d’achat en ligne. Décryptage.
L’arnaque au formjacking, ou vol de formulaire, est invisible mais bien réelle. De quoi parle-t-on ? Des hackers s’infiltrent dans le code de sites d’e-commerce afin de dérober les données personnelles des visiteurs. Lorsqu’un internaute entre ses coordonnées pour procéder à un paiement en ligne, ses informations (nom, adresse, coordonnées bancaires…) sont aspirées en direct lors de l’opération d’achat par le programme malveillant, qui enregistre les touches frappées. Sauf que cette arnaque est indétectable : le consommateur finalise sa commande, sans moyen de déceler le piratage, qui ne laisse aucune trace. Seuls des débits frauduleux sur le relevé de compte le révèleront enfin, mais trop tard. L’entreprise Symantec, qui édite des solutions de sécurité informatique, recense dans un récent rapport sur les menaces à la sécurité Internet (« Internet Security Threat report ») une augmentation du nombre d’attaques par formjacking, avec 4 800 sites Internet touchés par mois en 2018. Un chiffre à relativiser selon Jérôme Notin, directeur général de la plateforme Cybermalveillance : « Ce n’est pas forcément énorme. Mais si un gros site est attaqué, le nombre de victimes peut monter très vite. » En effet, Ticketmaster a vu plusieurs dizaines de milliers de ses clients anglais se faire voler leurs coordonnées bancaires via ce procédé l’an passé. Les hackers avaient infiltré le code d’un prestataire (support client) de la billetterie en ligne. Comme le rapportent nos homologues anglais Which?, la banque Monzo a sonné l’alerte après avoir constaté une quantité croissante de fraudes, dont une grande partie émanaient de personnes ayant effectué un achat sur Ticketmaster entre décembre 2017 et avril 2018.
