Formjacking : l’arnaque invisible qui pirate vos paiements en ligne
Date de publication : 17 octobre 2025
Imaginez : vous venez de finaliser un achat sur votre site préféré, tout semble normal… mais quelques jours plus tard, votre banque vous alerte sur des transactions suspectes. Vous n’avez rien remarqué d’anormal, pourtant, vos données bancaires ont été volées. Bienvenue dans l’univers du formjacking, une cyberattaque aussi discrète que redoutable.
Qu'est-ce que le formjacking ?
Parmi les menaces qui guettent les consommateurs, le "formjacking" se distingue par son ingéniosité. C’est un peu comme si un voleur se cachait discrètement dans un magasin pour voler les numéros de carte bancaire des clients au moment où ils paient. Sauf qu’ici, le magasin, c’est un site web, et le voleur, un code malveillant introduit par des cybercriminels.
Concrètement, les pirates s’installent dans un site de commerce en ligne (parfois même des plateformes réputées) et y glissent un code malveillant. Ce dernier capte les informations que vous saisissez dans les formulaires de paiement : numéro de carte, date d’expiration, cryptogramme… Tout y passe, sans que le site lui-même ne s’en rende compte.
Pourquoi vous ne voyez rien venir ?
La principale caractéristique du formjacking est sa discrétion : il ne modifie pas l'apparence du site. En d'autres termes, vous pensez être en sécurité. Vous ne remarquez pas de différences, ce qui rend l'escroquerie d'autant plus efficace. Aucune URL suspecte, aucun message d’erreur, rien qui cloche visuellement. Le script agit insidieusement en arrière- plan, comme un espion invisible. Cela peut se produire sur des sites réputés, et même le meilleur des filtres à malwares ne peut pas toujours le détecter.
Le formjacking reste cependant moins courant que d'autres cyberattaques, parce qu’il exige des compétences techniques poussées et que la surveillance des sites a été renforcée. Mais quand les pirates maîtrisent cette technique, ils touchent des milliers de victimes simultanément. Ainsi, le danger demeure. Les cybercriminels privilégient désormais des attaques ciblées et courtes. Ils infectent un site pendant quelques heures, volent un maximum de données, puis disparaissent avant d’être détectés. Chaque jour, des milliers de transactions sont effectuées en ligne, et même un faible pourcentage d'attaques réussies peut mener à des pertes considérables pour les consommateurs.
Résultat ? Même si les cas sont moins fréquents, ils sont plus difficiles à anticiper.
Pourquoi tout le monde peut être visé
Le formjacking ne distingue pas les experts des novices et ne cible pas que les « naïfs » ou les moins technophiles. Tout le monde peut en être victime. Cette technique exploite la confiance légitime accordée aux sites familiers. Votre librairie en ligne, votre site de vêtements préféré : tous peuvent devenir des vecteurs d'attaque. Les cybercriminels ne cherchent pas que les "gros poissons". Un retraité achetant occasionnellement représente une cible aussi intéressante qu'un gros acheteur. Les données bancaires ont toutes la même valeur, indépendamment du profil de leur propriétaire.
La bonne nouvelle ? En adoptant les bons réflexes, vous pouvez réduire considérablement les risques.
Les bons réflexes pour ne pas tomber dans le piège
Pour éviter de tomber dans le piège du formjacking, il est essentiel d’adopter quelques réflexes simples :
Assurez-vous que le site commence par "https://" et qu'il possède un cadenas dans la barre d'adresse.
Soyez vigilant avec les emails : ne cliquez pas sur des liens dans des courriels suspects, même s'ils semblent provenir d'un site de confiance.
Utilisez des mots de passe forts : évitez d’utiliser le même mot de passe sur plusieurs sites.
Privilégiez les solutions de paiement qui ajoutent une protection entre vous et le site marchand. PayPal, Apple Pay, Google Pay ou les virements instantanés limitent la transmission directe de vos coordonnées bancaires.
Quand vous devez saisir vos informations de carte, faites le sur des sites de confiance que vous connaissez. Évitez les achats impulsifs sur des plateformes inconnues, surtout avec des prix défiant toute concurrence. Gardez vos navigateurs à jour et méfiez-vous des réseaux WiFi publics pour vos achats.
Activez les alertes de votre banque : configurez des notifications pour toute transaction, même minime. Une alerte instantanée peut vous sauver en cas de fraude.
Après l’achat : restez vigilant
Même si tout semble normal, surveillez vos relevés bancaires dans les jours qui suivent un achat en ligne. Des micro-transactions (quelques centimes) peuvent être des tests de fraudeurs pour vérifier si votre carte est active.
Si vous repérez une anomalie, réagissez rapidement :
Bloquez immédiatement votre carte via votre appli bancaire.
Signalez la fraude à votre banque et au site concerné.
Gardez des traces de vos achats légitimes pour faciliter les contestations.
Changez vos mots de passe si vous avez un compte sur le site piraté.
Les outils numériques pour renforcer votre sécurité
Activez les protections contre les scripts malveillants dans votre navigateur.
Considérez des extensions de sécurité spécialisées dans la protection bancaire : des outils comme uBlock Origin ou NoScript (pour les utilisateurs avancés) bloquent les scripts suspects.
Activez l'authentification à deux facteurs sur vos comptes de paiement et bancaires. Maintenez un antivirus à jour sur tous vos appareils.
Utilisez un gestionnaire de mots de passe (comme Bitwarden ou 1Password) pour éviter les réutilisations de mots de passe, souvent exploitées par les pirates.
En résumé :
Le formjacking est une menace sournoise, mais pas invincible. Face à cette forme moderne de piraterie silencieuse, opposez une bonne dose de prudence, de vigilance, de réactivité combinée à des outils de sécurité. Ce sont les clés pour naviguer en toute sécurité. Et si le doute s’installe, souvenez-vous : « La sécurité en ligne, c’est comme une ceinture de sécurité : on ne la voit pas, mais elle peut vous sauver la vie ».
Mieux vaut annuler un achat que d’être victime d’une fraude.