.png){kind=logo}
1 day ago
Le plugin concerné s'appelle Funnel Builder, développé par FunnelKit. Il sert à personnaliser les pages de paiement des boutiques utilisant WooCommerce, la principale solution d'e-commerce pour WordPress.
La faille, référencée CVE-2026-47100 (score de sévérité CVSS 8.7 sur 10), a été documentée le 14 mai 2026 par l'équipe de cybersécurité e-commerce Sansec. Un correctif existe dans la version 3.15.0.3, publiée le 13 mai. Mais selon les statistiques de la page du plugin sur WordPress.org, plus de la moitié des sites concernés utilisent encore une version vulnérable.
Part des différentes versions de FunnelKit actives sur le Web. La version corrigée (3.15) représente 52 % des installations actives. © Naïm Bada, WordPress.org
Un faux Google Analytics qui aspire vos données de paiement
Le mécanisme d'attaque repose sur un défaut d'authentification : un point d'entrée technique (endpoint AJAX) du plugin accepte des requêtes sans vérifier l'identité de l'expéditeur. En l'exploitant, un attaquant peut écrire du code JavaScript directement dans les réglages globaux du plugin, dans un champ prévu pour les scripts externes de type Google Analytics.
Attention : cette arnaque au téléphone prend de l’ampleur, voici les réflexes à adopter avant qu’il ne soit trop tard
Un simple « allô » peut désormais suffire à nourrir une IA capable d’imiter votre voix. Derrière les appels silencieux et les faux conseillers se cache une nouvelle génération d’arnaques dopées au clonage vocal et à l’usurpation de numéro. Voici comment ne pas tomber dans le piège.... Lire la suite
Ce code malveillant est alors chargé automatiquement sur chaque page de paiement de la boutique, dans le navigateur de chaque acheteur. Pour échapper à la détection, il se présente sous l'apparence d'un script Google Tag Manager légitime. En réalité, il décode une adresse masquée en base64 pour charger un fichier JavaScript externe, qui ouvre ensuite une connexion WebSocket, un canal de communication en temps réel entre le navigateur et un serveur de contrôle. Ce canal transmet les données saisies dans le formulaire de paiement : numéro de carte, cryptogramme visuel (CVV) et adresse de facturation.
La particularité de ce type d'attaque, appelée « Magecart » en référence aux premières campagnes de ce genre, est que le code malveillant ne modifie aucun fichier du site. Il réside dans une option de la base de données WordPress, ce qui le rend invisible aux scans de fichiers classiques.
Que faire si vous avez payé en ligne récemment ?
Les acheteurs n'ont aucun moyen de détecter un site compromis avant d'y saisir leurs coordonnées. En cas de prélèvement suspect, le Code monétaire et financier (article L. 133-24, transposant la directive européenne DSP2) prévoit un délai de 13 mois pour signaler une opération frauduleuse à sa banque et obtenir un remboursement.
Lire l'article
Ce délai ne doit pas être confondu avec celui de huit semaines, qui concerne uniquement les prélèvements autorisés dont le montant est contesté.
English (United States) · 
French (France) ·