Qu’est-ce que le FormJacking, cette arnaque qui vide votre compte bancaire ?

Avec l'essor des paiements en ligne, une arnaque connaît un véritable boom et consiste à subtiliser l'ensemble des coordonnées bancaires des victimes sans qu'elles ne s'en aperçoivent. C'est ce que l'on appelle du FormJacking. Explications.

Qu’est-ce que le FormJacking, cette arnaque qui vide votre compte bancaire ? © UNSPLASH

Par Kévin Comby

Publié le 10 juillet 2025 à 23h53.

Lecture : 1 min

C’est une situation dont beaucoup se passeraient bien. Après avoir flashé sur un article en ligne, carte bancaire en main, vous passez votre commande. Tout semble normal, vous rentrez les informations de votre carte de crédit sur le site Internet et vous attendez que votre achat arrive à votre domicile. Et là stupeur. Vous vous apercevez que votre compte bancaire a été totalement vidé. Vous avez en réalité été victime de FormJacking, une cyberattaque qui aspire l’entièreté de vos coordonnées bancaires sans même que vous ne vous en rendiez compte.

Comme le rapporte le média Presse-Citron, le procédé utilisé par les cybercriminels est pourtant simple. Une fois votre panier validé, au moment de passer votre commande en rentrant vos coordonnées bancaires, un script JavaScript malveillant est discrètement injecté sur la page du site Internet pour capturer automatiquement vos informations. Le numéro de la carte, sa date d’expiration, son cryptogramme et le nom de son titulaire tombent alors entre les mains des cybercriminels via un serveur qu’ils contrôlent. L’arnaque, rondement menée, est par ailleurs bien difficile à déceler, d’autant que la victime reçoit bel et bien le produit qu’elle a commandé sur le net.

Une arnaque rendue possible grâce à l’essor des paiements en ligne

Si ce type d’arnaque tend à se répandre ces dernières années, c’est avant tout grâce à une pratique que beaucoup de consommateurs utilisent aujourd’hui, à savoir celle de commander sur Internet en procédant à des paiements en ligne. En effet, alors que le skimming - l’escroquerie qui détourne vos informations de carte bancaire - exigeait lors des attaques physiques d’installer des appareils sur les terminaux de paiement, le FormJacking, lui, se réalise sur un site Internet de e-commerce qui a été au préalable compromis.

À noter d’ailleurs qu’aucune entreprise n’est à l’abri d’être la cible des cybercriminels. En 2018 par exemple, la compagnie aérienne British Airways avait ainsi été infiltrée pendant plus de deux semaines. Durant ce laps de temps, les escrocs avaient ainsi pu faire main basse sur les données bancaires de près de 380 000 clients avant que l’alerte ne soit donnée.

Les gestes à adopter pour se protéger

Afin de ne pas se retrouver victime d’une telle arnaque, plusieurs gestes simples doivent être appliqués. Tout d’abord, il est conseillé d’être extrêmement vigilant lors d’une commande effectuée sur Internet. Ensuite, une fois la commande effectuée, il convient de consulter régulièrement ses relevés bancaires pour déceler toute anomalie ou tout retrait suspect. Enfin, il est recommandé de configurer une authentification à deux facteurs sur vos comptes bancaires ou d’opter pour des mots de passe complexes propres à chaque application et/ou service.