L'évolution furtive des skimmers d'e-commerce : comment WebRTC contourne les douves numériques

La vélocité choquante des exploits PolyShell

Dans la semaine suivant le 19 mars 2026, un chiffre stupéfiant de 56,7 % de toutes les boutiques Magento et Adobe Commerce vulnérables ont été compromises par une seule chaîne d'exploits. Cette statistique exige une analyse rigoureuse et détaillée des failles systémiques qui ont permis une infection aussi rapide et généralisée. Nous ne sommes pas simplement face à une épidémie de logiciels malveillants standard ; nous assistons à l'émergence d'un vecteur d'attaque sophistiqué qui détourne des protocoles web légitimes pour rendre les périmètres de sécurité traditionnels obsolètes.

En coulisses, le catalyseur de cette épidémie numérique est une vulnérabilité connue sous le nom de PolyShell. Cette faille affecte Magento Open Source et Adobe Commerce, offrant aux attaquants non authentifiés un moyen de télécharger des exécutables arbitraires via l'API REST. Une fois l'exécution du code réalisée, les attaquants ne se contentent pas du contrôle côté serveur. Ils installent un skimmer de paiement hautement spécialisé qui représente un bond significatif en matière de technologie de furtivité.

Briser le miroir : comment WebRTC contourne le CSP

Pendant des années, les professionnels de la sécurité se sont appuyés sur la Content Security Policy (CSP) comme une défense robuste contre le cross-site scripting et l'exfiltration de données. Par conception, une CSP bien configurée indique au navigateur exactement quels domaines sont de confiance. Si un script malveillant tente d'envoyer des données de carte de crédit volées à un serveur non autorisé via une requête HTTP standard, le navigateur le bloque.

Cependant, le skimmer PolyShell utilise un contournement nuancé : les canaux de données WebRTC (Web Real-Time Communication). Conçu à l'origine pour une communication de pair à pair à faible latence — comme les appels vidéo ou le partage de fichiers — le WebRTC permet aux données de circuler directement entre les clients ou vers un serveur STUN/TURN.

En pratique, de nombreuses implémentations de CSP ne sont pas assez granulaires pour prendre en compte le WebRTC. Alors qu'une équipe de sécurité peut surveiller strictement connect-src pour les appels API traditionnels, la nature décentralisée du WebRTC passe souvent entre les mailles du filet. Le skimmer utilise ces canaux de données pour charger sa charge utile malveillante et exfiltrer des informations de paiement sensibles. D'un point de vue de risque, cela transforme une fonctionnalité légitime en un cheval de Troie numérique, permettant aux données volées de contourner les douves du château du filtrage réseau traditionnel.

L'anatomie d'une attaque PolyShell

L'évaluation de la surface d'attaque révèle un processus en plusieurs étapes aussi efficace que malveillant. L'attaque commence par l'exploitation de l'API REST, un composant critique des plateformes d'e-commerce modernes qui est souvent laissé exposé pour des raisons d'interopérabilité. Comme la vulnérabilité permet des téléchargements non authentifiés, la barrière à l'entrée est dangereusement basse.

Une fois que l'attaquant a pris pied, il injecte un script dans la page de paiement. Curieusement, ce script ne se comporte pas comme les skimmers d'il y a cinq ans. Je me souviens avoir enquêté sur les premiers incidents MageCart où le malware envoyait simplement une requête GET avec des données encodées en base64 dans l'URL. C'était bruyant et facile à repérer dans les journaux du serveur. En revanche, le skimmer PolyShell est presque invisible. En utilisant WebRTC, le trafic ressemble à une poignée de main standard de pair à pair, faisant de l'analyse médico-légale un cauchemar pour les intervenants en cas d'incident qui ne recherchent que des requêtes HTTP POST suspectes.

Pourquoi le correctif seul n'est pas une solution miracle

L'application de correctifs est souvent décrite comme le colmatage des trous dans la coque d'un navire, et bien qu'essentielle, elle est rarement une solution complète en soi. Malgré la disponibilité de correctifs, la vitesse de déploiement de PolyShell — avec plus de 50 adresses IP participant à des balayages de masse — suggère que de nombreuses organisations ont du mal à suivre le rythme des menaces.

Au niveau architectural, le problème réside dans la confiance intrinsèque que nous accordons aux scripts tiers et aux fonctionnalités intégrées du navigateur. Lorsqu'une boutique est compromise, la violation de données agit comme une marée noire ; le désastre environnemental et réputationnel se propage bien au-delà du point d'impact initial. Pour l'utilisateur final, l'expérience est transparente et semble sécurisée, alors que ses données financières les plus sensibles sont acheminées via un canal chiffré et décentralisé directement entre les mains d'un acteur malveillant.

Parler de manière proactive : mesures défensives

Pour construire une défense plus résiliente contre cette nouvelle race de skimmers, les organisations doivent regarder au-delà des configurations par défaut. Une posture de sécurité proactive nécessite une approche multidimensionnelle de l'intégrité des données et de la confidentialité.

1. Auditer l'accès à l'API REST : Assurez-vous que votre API REST Magento ou Adobe Commerce n'est pas exposée à l'internet public, sauf si cela est absolument nécessaire. Mettez en œuvre une liste blanche d'IP stricte ou des couches d'authentification robustes.
2. Renforcer les directives CSP : Votre Content Security Policy doit être mise à jour pour traiter le WebRTC. Plus précisément, examinez la directive connect-src et envisagez d'utiliser media-src ou des restrictions spécifiques liées au WebRTC si votre plateforme les prend en charge.
3. Surveillance de l'intégrité : Utilisez le File Integrity Monitoring (FIM) pour détecter les modifications non autorisées de votre code source e-commerce. Puisque le skimmer doit être injecté dans le frontend, tout changement dans la logique de paiement devrait déclencher une alerte immédiate.
4. Analyse comportementale : Recherchez un trafic WebRTC inhabituel provenant de vos pages de paiement. Dans ce cadre, toute connexion P2P initiée à partir d'une page qui ne devrait traiter que des paiements est un signal d'alarme majeur.

En fin de compte, l'incident PolyShell rappelle que le périmètre réseau est un concept obsolète à l'ère des attaques sophistiquées côté client. Nous devons traiter chaque fonctionnalité du navigateur comme un chemin d'exfiltration potentiel.

Prochaine étape concrète

Si vous utilisez Magento Open Source ou Adobe Commerce, votre priorité immédiate est de vérifier votre niveau de correctif contre la vulnérabilité PolyShell. Une fois la faille colmatée, effectuez un audit médico-légal de vos scripts de paiement pour vous assurer qu'aucun skimmer basé sur WebRTC n'est actuellement actif. N'attendez pas une notification de votre processeur de paiement ; la rapidité de cette attaque suggère qu'au moment où vous en entendrez parler, les données auront déjà été vendues sur le dark web.

Sources :

• Sansec Threat Intelligence Report on WebRTC Skimmers.
• Adobe Security Bulletin for Magento and Adobe Commerce.
• WebRTC Protocol Specifications and Security Guidelines.