Une vaste campagne de cyberattaque cible actuellement les boutiques en ligne utilisant WooCommerce, le plugin e-commerce de WordPress installé sur plusieurs millions de sites marchands à travers le monde.
Les chercheurs en cybersécurité de Patchstack alertent sur une opération particulièrement discrète permettant à des pirates de voler les données bancaires des clients directement au moment du paiement. Cette campagne s’appuie sur des extensions WordPress compromises, des plugins piégés et l’exploitation de vulnérabilités connues affectant l’écosystème WooCommerce.
Selon les experts, les cybercriminels cherchent avant tout à récupérer des informations bancaires exploitables immédiatement sur les marchés frauduleux. Les données volées peuvent ensuite être revendues sur des forums spécialisés ou utilisées pour effectuer des achats frauduleux.
Les cartes bancaires volées directement pendant le paiement
Le fonctionnement de l’attaque est particulièrement redoutable. Une fois le site compromis, un script malveillant est injecté directement dans les pages de paiement WooCommerce.
Lorsqu’un client saisit ses informations bancaires pour régler une commande, les données sont immédiatement copiées avant même d’être envoyées vers le prestataire de paiement légitime.
Le script transmet ensuite discrètement les informations vers une infrastructure contrôlée par les attaquants. Pendant ce temps, la commande continue normalement : le paiement semble fonctionner, le client reçoit parfois même sa confirmation de commande et aucun comportement suspect n’est visible à l’écran.
Cette discrétion rend les attaques particulièrement difficiles à détecter, aussi bien pour les clients que pour les administrateurs des boutiques compromises.
Les cybercriminels peuvent ainsi récupérer :
- les numéros de cartes bancaires ;
- les dates d’expiration ;
- les cryptogrammes visuels ;
- les noms des titulaires ;
- les adresses de facturation ;
- les adresses e-mail et numéros de téléphone des clients.
Dans certains cas, les scripts malveillants sont également capables de récupérer les identifiants administrateurs du site ou des informations liées aux comptes WooCommerce.
Un faux plugin WordPress utilisé pour infecter les sites
Selon Patchstack, les attaquants utilisent de faux plugins WordPress déguisés en extensions légitimes afin d’obtenir un accès durable aux boutiques compromises.
Les cybercriminels se font parfois passer pour des développeurs de plugins de sécurité ou prétendent proposer des correctifs urgents afin d’inciter les administrateurs à installer eux-mêmes les fichiers malveillants.
Une fois installé, le plugin modifie automatiquement les pages WooCommerce pour injecter le code chargé d’intercepter les données bancaires.
Le malware peut également créer de nouveaux comptes administrateurs cachés, désactiver certains outils de sécurité ou ouvrir des portes dérobées permettant aux attaquants de revenir ultérieurement sur le site compromis.
Les chercheurs expliquent également que les pirates exploitent régulièrement des plugins obsolètes ou des vulnérabilités déjà connues afin de prendre le contrôle des sites insuffisamment mis à jour.
Une vulnérabilité WooCommerce récemment référencée
Cette campagne intervient alors qu’une nouvelle vulnérabilité touchant l’écosystème WooCommerce a récemment été référencée sous l’identifiant CVE-2026-47100.
Cette faille concerne une extension liée à WooCommerce et peut permettre à des attaquants d’exécuter du code malveillant ou de compromettre certaines fonctionnalités du site lorsque les correctifs ne sont pas appliqués.
Les chercheurs rappellent que les boutiques WooCommerce représentent des cibles particulièrement attractives pour les cybercriminels en raison des volumes importants de transactions et des données sensibles manipulées quotidiennement.
De nombreux sites e-commerce reposent également sur un grand nombre d’extensions tierces parfois mal maintenues ou abandonnées par leurs développeurs, ce qui augmente considérablement la surface d’attaque.
Une attaque de type MageCart
Cette campagne s’inscrit dans la catégorie des attaques dites MageCart, une technique utilisée depuis plusieurs années pour transformer des sites e-commerce compromis en véritables pièges à cartes bancaires.
Le terme MageCart désigne plusieurs groupes cybercriminels spécialisés dans l’injection de scripts malveillants sur des plateformes de commerce en ligne.
Initialement concentrées sur Magento, ces attaques ciblent désormais massivement WordPress et WooCommerce en raison de leur popularité et du nombre colossal de boutiques reposant sur ces technologies.
Les scripts utilisés sont souvent extrêmement furtifs. Certains ne s’activent que dans des conditions précises afin d’éviter d’être détectés par les solutions de sécurité ou les administrateurs des sites.
Dans plusieurs campagnes récentes, les chercheurs ont observé des malwares capables de vérifier si la victime utilisait réellement une page de paiement avant d’activer le vol des données bancaires.
Des conséquences importantes pour les commerçants
Au-delà du vol des données bancaires des clients, les boutiques compromises s’exposent à des conséquences particulièrement lourdes.
Les commerçants peuvent subir :
- une perte de confiance des clients ;
- des remboursements liés aux fraudes bancaires ;
- des sanctions réglementaires ;
- des obligations de notification en cas de fuite de données ;
- une dégradation du référencement du site ;
- un blacklistage par certains navigateurs ou moteurs de recherche.
Dans certains cas, les boutiques compromises peuvent également voir leurs campagnes publicitaires suspendues ou leurs moyens de paiement temporairement désactivés par les prestataires financiers.
Les experts appellent à renforcer la sécurité des boutiques WooCommerce
Face à cette menace, les chercheurs recommandent aux administrateurs de boutiques WooCommerce de maintenir WordPress, WooCommerce et l’ensemble des plugins à jour afin de limiter les risques d’exploitation de vulnérabilités connues.
Ils conseillent également :
- de supprimer les extensions inutilisées ;
- de limiter les droits administrateurs ;
- de surveiller les scripts chargés sur les pages de paiement ;
- de mettre en place une authentification à deux facteurs ;
- de vérifier régulièrement les comptes administrateurs présents sur le site ;
- d’utiliser uniquement des plugins téléchargés depuis des sources officielles.
Les experts rappellent enfin que les faux correctifs de sécurité et les plugins piratés sont désormais devenus l’une des méthodes favorites des cybercriminels pour infiltrer les boutiques WooCommerce.