Détection des skimmers Magecart en 2026 : ce qui a changé depuis le Groupe 12
Les card-skimmers modernes ne se trouvent plus dans des balises <script> évidentes. Voici comment nous les détectons dans les service workers, les blobs WASM et les chunks chargés à la demande.
Pendant la majeure partie de la dernière décennie, la détection de Magecart était un exercice de correspondance de chaînes. On repérait un <script> inline effectuant un POST vers un domaine .top récemment enregistré, on déclenchait une alerte et on transmettait.
Les équipes d'attaque ont changé de méthode. Depuis fin 2024, le modèle dominant que nous observons dans notre pipeline est un skimmer de page de paiement enregistré à l'intérieur d'un service worker, alimenté par un wrapper analytics.js d'apparence innocente et activé uniquement après qu'une vérification de fingerprint confirme que le visiteur n'est pas un navigateur headless.
Pour intercepter ce type de menace, notre crawler démarre un Chromium entièrement instrumenté avec des hooks pour les service workers, exécute un checkout synthétique et enregistre chaque initiateur de requête dans l'arborescence de pages résultante. Le skimmer se déclenche exactement une fois par session d'apparence réelle — et nous le voyons, parce que nous ressemblons à une session réelle.
Si vous gérez une boutique e-commerce, la leçon pratique est la suivante : les WAF basés sur des signatures ne peuvent pas détecter cela. Vous avez besoin d'un monitoring d'exécution dans le navigateur capable de survivre aux vérifications anti-analyse de l'attaquant.