Une campagne Magecart exploite la faille PolyShell dans Magento 2 pour déployer un skimmer de paiement utilisant WebRTC afin de contourner la Content Security Policy. 56 % des boutiques vulnérables sont déjà ciblées, sans patch stable disponible.
La veille cybersécurité permanente est devenue une nécessité opérationnelle pour les équipes de sécurité, permettant d'anticiper les nouvelles menaces, de prioriser les actions de remédiation et d'adapter les stratégies de défense en temps réel. L'actualité de la cybersécurité est marquée par une accélération sans précédent des menaces, des vulnérabilités et des incidents affectant organisations et particuliers à l'échelle mondiale. Les équipes de sécurité doivent maintenir une veille permanente pour anticiper les risques émergents, appliquer les correctifs critiques et adapter leurs stratégies de défense. Cette analyse décrypte les derniers événements marquants du paysage cyber et leurs implications concrètes pour la protection de vos systèmes d'information. À travers l'analyse de PolyShell : skimmer WebRTC vole 56 % des boutiques, nous vous proposons un décryptage complet des enjeux et des solutions à mettre en œuvre.
- Contexte et chronologie des événements
- Impact sur l'écosystème cybersécurité
- Leçons apprises et recommandations
- Perspectives et évolutions attendues
En bref
- PolyShell est une vulnérabilité critique dans Magento Open Source v2 et Adobe Commerce v2 permettant l'exécution de code à distance sans authentification via l'API REST.
- Les attaquants déploient un skimmer JavaScript qui exfiltre les données de paiement via WebRTC (UDP/DTLS), contournant complètement la Content Security Policy (CSP).
- 56,7 % des boutiques Magento vulnérables sont déjà ciblées ; le seul patch disponible est en version bêta (Adobe Commerce 2.4.9-beta1) et n'a pas encore rejoint la branche stable.
PolyShell : quand l'API Magento devient une porte dérobée
Depuis le 19 mars 2026, les équipes de Sansec et BleepingComputer documentent une vague d'attaques massives ciblant les boutiques Magento Open Source v2 et Adobe Commerce v2. La faille exploitée, baptisée PolyShell par les chercheurs, permet à un attaquant non authentifié d'uploader des fichiers exécutables arbitraires via l'API REST de Magento. Le mécanisme d'abus réside dans la gestion des options personnalisées des articles du panier, qui accepte des chargements de fichiers sans validation suffisante du type MIME ni contrôle d'autorisation. Une fois un fichier PHP malveillant déposé, l'attaquant dispose d'un accès shell complet au serveur.
Plus de 50 adresses IP différentes scannent activement Internet à la recherche de boutiques vulnérables, selon Sansec. Parmi les victimes confirmées figure le site e-commerce d'un constructeur automobile valorisé à plus de 100 milliards de dollars, qui n'avait pas encore appliqué le correctif bêta au moment de la divulgation. Adobe a publié un correctif le 10 mars 2026 dans la version 2.4.9-beta1, mais celui-ci n'a pas encore rejoint la branche stable de production — laissant la grande majorité des boutiques sans solution officielle stable.
Le skimmer WebRTC : une évolution qui annule la CSP
Une fois l'accès initial obtenu via PolyShell, les attaquants injectent un skimmer JavaScript de nouvelle génération dans les pages de paiement. L'innovation technique de cette campagne réside dans le canal d'exfiltration : au lieu d'envoyer les données de carte bancaire volées via une requête HTTP/HTTPS classique — bloquable par une règle Content Security Policy — le skimmer ouvre une connexion WebRTC data channel chiffrée en DTLS sur UDP. La CSP, qui ne contrôle que les flux HTTP, est ainsi totalement contournée. Le skimmer utilise également l'API requestIdleCallback pour retarder son exécution et échapper aux outils d'analyse comportementale qui surveillent les actions au moment du chargement de la page.
Cette technique marque une évolution majeure dans les attaques de type Magecart. Pour les propriétaires de boutiques en ligne, cela signifie que même une politique CSP rigoureuse ne constitue plus une défense suffisante contre les skimmers modernes. Des mécanismes complémentaires — monitoring de l'intégrité des fichiers, analyse du trafic réseau sortant incluant UDP, et intégration PCI DSS d'un WAF applicatif — deviennent indispensables.
Ce qu'il faut retenir
- Appliquez immédiatement le patch Adobe Commerce 2.4.9-beta1 si vous opérez une boutique Magento, ou implémentez les règles de blocage WAF publiées par Sansec en attendant le patch stable.
- La CSP seule ne suffit plus : les skimmers modernes utilisent WebRTC (UDP) pour exfiltrer les données en contournant toutes les politiques HTTP.
- Auditez l'intégrité de vos fichiers Magento (en particulier sous
pub/mediaetvar/) pour détecter tout fichier PHP non autorisé déposé via l'API REST.
Comment protéger ma boutique Magento contre PolyShell si le patch stable n'est pas encore disponible ?
En attendant le patch stable, trois mesures d'urgence : (1) bloquez les uploads de fichiers via l'API REST Magento au niveau du WAF ou du reverse proxy en filtrant les requêtes POST vers les endpoints /rest/*/V1/carts/*/items qui contiennent des fichiers ; (2) activez la surveillance de l'intégrité des fichiers pour détecter tout nouveau fichier PHP dans les répertoires publics ; (3) bloquez les connexions WebRTC sortantes au niveau réseau si votre boutique n'en a pas besoin. Les signatures de détection publiées par Sansec permettent également d'identifier le skimmer dans vos fichiers JavaScript.
Article suivant recommandé
Mistral Small 4 : un seul modèle MoE remplace trois IA →Mistral AI publie Mistral Small 4, un modèle Mixture of Experts sous licence Apache 2.0 qui fusionne raisonnement avancé
Points clés à retenir
- Contexte : PolyShell : skimmer WebRTC vole 56 % des boutiques Magento — un sujet critique pour la cybersécurité des organisations
- Impact : Les risques identifiés peuvent compromettre la confidentialité, l'intégrité et la disponibilité des systèmes
- Action recommandée : Évaluer votre exposition et mettre en place les contrôles de sécurité appropriés
Articles connexes
Comment renforcer la cybersécurité de votre organisation ?
Le renforcement passe par une évaluation des risques, la mise en place de contrôles techniques (pare-feu, EDR, SIEM), la formation des collaborateurs, des audits réguliers et l'adoption de frameworks reconnus comme ISO 27001 ou NIST CSF.
Pourquoi la cybersécurité est-elle un enjeu stratégique en 2026 ?
Avec l'augmentation de 45% des cyberattaques en 2025, la cybersécurité est devenue un enjeu de survie pour les organisations. Les réglementations (NIS2, DORA, AI Act) imposent des obligations strictes et les conséquences financières d'une compromission peuvent atteindre plusieurs millions d'euros.
Quels sont les premiers pas pour sécuriser une infrastructure ?
Les premiers pas incluent l'inventaire des actifs, l'identification des vulnérabilités critiques, le déploiement du MFA, la segmentation réseau, la mise en place de sauvegardes testées et l'élaboration d'un plan de réponse à incident.
Conclusion
Face à l'évolution constante des menaces, une posture de sécurité proactive est indispensable. Les techniques et recommandations présentées dans cet article constituent des fondations solides pour renforcer la résilience de votre infrastructure.
Besoin d'un accompagnement expert en cybersécurité ? Contactez Ayi NEDJIMI Consultants pour un audit personnalisé de votre infrastructure.
Termes clés
- cyberattaque
- ransomware
- phishing
- vulnérabilité
- patch
- zero-day
À lire également
Lectures recommandées
Surface d'attaque : Ensemble des points d'entrée exploitables par un attaquant pour compromettre un système, incluant les services exposés, les interfaces utilisateur et les API.
À propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
CVE-2026-0625 : zero-day critique dans les routeurs D-Link EOL
CVE-2026-0625 : injection de commandes critique (CVSS 9.3) dans les routeurs D-Link DSL en fin de vie. Aucun correctif prévu, remplacement immédiat nécessaire.
GlassWorm : 72 extensions Open VSX piégées ciblent les développeurs
La campagne GlassWorm compromet 72 extensions Open VSX pour voler des credentials et tokens cloud. Plus de 9 millions d'installations et 151 dépôts GitHub affectés.
CVE-2026-5281 : zero-day Chrome WebGPU exploité activement
Google corrige CVE-2026-5281, un use-after-free dans Dawn (WebGPU) exploité activement. Quatrième zero-day Chrome de 2026, mise à jour critique requise immédiatement.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire