Attention au FormJacking : l’arnaque discrète qui vole vos données bancaires

Chaque achat en ligne peut cacher un piège. Un piège sournois, invisible, mais redoutablement efficace. Son nom ? Le FormJacking. Un mot étrange, une technique redoutable. Et surtout, une menace bien réelle pour votre compte bancaire. L’assurance habitation Leocare vous explique tout.

Qu’est-ce que le “FormJacking” ?

Chaque achat en ligne peut cacher un piège. Un piège sournois, invisible, mais redoutablement efficace. Son nom ? Le FormJacking. Un mot étrange, une technique redoutable. Et surtout, une menace bien réelle pour votre compte bancaire. On vous explique tout.

Comment le FormJacking s’infiltre au moment du paiement

Le FormJacking, c’est un peu comme un pickpocket numérique. Vous validez un achat sur un site, tout semble normal. Vous entrez votre numéro de carte, la date d’expiration, le code derrière. Puis vous recevez votre commande. Nickel. Sauf que quelques jours plus tard, votre compte est vidé. Sans bruit. Sans alerte.

Ce vol est rendu possible grâce à un petit script malveillant. Invisible à l’œil nu. Il s’infiltre sur la page de paiement du site, sans que ni vous, ni le commerçant ne s’en rendent compte. Et pendant que vous saisissez vos données, ce script les enregistre. Numéro, nom, cryptogramme. Tout y passe. C’est propre, rapide, silencieux.

Le terme “FormJacking” vient de la contraction de “form” (formulaire en anglais) et de “jacking” (comme dans “carjacking”). Il désigne une technique de piratage qui détourne un formulaire web de paiement à des fins frauduleuses. Cette méthode est particulièrement redoutée car elle repose sur la discrétion totale : ni le site web ni l’utilisateur ne se rendent compte de l’intrusion. Selon un rapport de Symantec (2019), environ 4 800 sites web étaient infectés chaque mois par des scripts de FormJacking. Les attaques ciblaient aussi bien de petits sites que de grandes enseignes. Et chaque transaction volée pouvait rapporter jusqu’à plusieurs centaines d’euros aux pirates.

Pourquoi vous ne voyez jamais venir cette arnaque

Parce que tout se passe dans l’ombre. Le site fonctionne. Votre commande arrive. Pas de message d’erreur. Pas de page suspecte. Juste une faille que des hackers savent parfaitement exploiter. C’est ce qui rend cette technique aussi efficace : elle ne déclenche aucun signal d’alerte pour vous.

En 2018, même British Airways en a fait les frais. Plus de 320 000 clients se sont fait voler leurs informations bancaires. Autant dire que personne n’est trop petit pour être ciblé. Pas même vous.

Moins fréquent, mais toujours redoutable

Depuis quelques années, les sites de e-commerce ont renforcé leur sécurité. L’usage du 3-D Secure est devenu courant. Ce système vous envoie un code par SMS ou via votre application bancaire pour valider le paiement. Résultat : il est plus compliqué de voler et surtout d’utiliser vos données.

Mais compliqué ne veut pas dire impossible. Car si les sites sérieux se protègent mieux, les petits sites ou les plateformes moins connues restent des cibles faciles. Et vous pouvez tomber dans le piège sans le savoir.

Et parfois, il suffit d’un simple clic pour se retrouver victime d’un faux message de livraison. Alors avant de cliquer, demandez-vous si vous n’êtes pas face à une arnaque par SMS de faux colis.

Les bons réflexes pour ne pas tomber dans le piège

Pas besoin de devenir expert en cybersécurité pour se protéger. Mais quelques réflexes simples peuvent faire la différence. D’abord, vérifiez toujours le sérieux du site où vous achetez. Est-ce un nom connu ? Y a-t-il un cadenas dans la barre d’adresse ? Le design semble-t-il bâclé ou suspect ?

Même sur des sites réputés, restez vigilants. Les plus grosses enseignes peuvent aussi être piratées. Ce n’est pas la notoriété du site qui vous protège. C’est votre vigilance. Avant de vous lancer dans des démarches administratives en ligne, assurez-vous aussi de ne pas tomber sur un faux service. Car une arnaque à la carte grise peut très bien imiter un site officiel.

En parallèle, si vous êtes en train de vendre un véhicule, méfiez-vous aussi d’une arnaque à la voiture d’occasion qui peut se jouer en ligne, avec de faux paiements et de faux profils.

Autre bon réflexe : utilisez une carte bancaire virtuelle. Aujourd’hui, la plupart des banques proposent cette option dans leur application. Vous générez une carte éphémère, avec un plafond défini ou une durée limitée. Si elle est piratée, le voleur ne pourra pas vider votre compte. Pas mal, non ?

Après l’achat : ce qu’il faut surveiller

C’est là que beaucoup baissent la garde. Pourtant, c’est aussi après un achat qu’il faut rester attentif. Consultez régulièrement votre relevé bancaire. Le moindre débit suspect ? Ne perdez pas de temps. Faites opposition immédiatement. Un réflexe simple qui peut vous éviter bien des ennuis.

Et si un jour vous croisez une contravention suspecte dans votre boîte mail, souvenez-vous qu’une fausse amende de l’ANTAI peut aussi cacher une tentative de fraude.

Autre point souvent négligé : les mises à jour. Oui, c’est ennuyeux. Mais mettre à jour votre ordinateur, votre smartphone, vos logiciels, vos navigateurs, c’est comme verrouiller votre porte. Chaque mise à jour corrige des failles. Et si un inconnu vous propose un paiement ou un remboursement via un lien Google, souvenez-vous que l’arnaque au faux Google Drive peut vous faire perdre gros en quelques secondes.

Et des failles, c’est exactement ce que cherchent les pirates.

Les outils numériques à activer pour renforcer votre sécurité

Si vous utilisez encore un vieux navigateur plein de poussière, il est temps de changer. Certains navigateurs renforcent la sécurité lors de vos paiements. Ils isolent la page de votre banque, bloquent les scripts suspects. Et si vous entendez parler d’un appel en absence étrange, sachez que derrière se cache peut-être une arnaque au ping call, conçue pour vous faire rappeler des numéros surtaxés.

Une vraie barrière numérique.

Et bien sûr, installez une suite de sécurité. Un bon antivirus, mis à jour, c’est comme un chien de garde : il ne dort jamais. Il surveille en permanence, détecte les anomalies, bloque les intrusions. Mais même avec un antivirus, restez sur vos gardes si un inconnu vous propose de recevoir de l’argent sur votre compte. C’est peut-être le début d’une arnaque à la mule bancaire.

Ce n’est pas magique, mais c’est terriblement utile.

Pourquoi tout le monde peut être visé, y compris vous

Vous pensez que seul un dirigeant de grande entreprise peut intéresser un hacker ? Détrompez-vous. Les pirates aiment les cibles faciles. Et certains n’hésitent pas à profiter des vacances pour vous piéger. Si vous louez un véhicule, pensez à vérifier que vous n’êtes pas face à une arnaque à la location de voiture.

Et certains n’hésitent pas à exploiter les parkings ou les aires de repos pour piéger les automobilistes. Une arnaque au télépéage peut se déclencher aussi simplement qu’un message collé sur votre pare-brise.

Les profils discrets, les particuliers, les petites structures. Moins protégés, moins préparés. Et donc plus rentables.

Ce n’est pas votre compte qui les attire. C’est la facilité. Si vous laissez la porte ouverte, ils entrent. Si vous la fermez, ils iront voir ailleurs.

Alors oui, le FormJacking est une menace. Mais avec les bons réflexes, il ne fera pas de vous sa prochaine victime. Prévenez, vérifiez, surveillez. Et pour affiner votre vigilance, prenez deux minutes pour parcourir les signes typiques d’une arnaque. Un détail suffit souvent à flairer le piège.

Et surtout, ne pensez jamais que cela n’arrive qu’aux autres. Parce que la prochaine page de paiement pourrait être piégée.

Restez attentif, pas inquiet. Et n’oubliez pas : votre premier bouclier, c’est vous.