Plus de 40 000 boutiques WooCommerce s'exposent à une faille du plugin Funnel Builder. Des attaquants l'exploitent déjà pour injecter un skimmer dans la page de paiement. Numéros de carte et cryptogrammes partent vers un serveur distant. FunnelKit a publié un correctif avec la version 3.15.0.3.
Dans son analyse toute récente, la société néerlandaise de sécurité e-commerce Sansec a averti que dans toutes les versions du plugin WooCommerce antérieures à 3.15.0.3, un endpoint de checkout accepte les requêtes sans aucune vérification d'authentification. Un attaquant choisit alors une méthode interne à exécuter et écrit directement dans les réglages globaux du plugin.
La faille n'a pas encore d'identifiant CVE officiel. Les commerçants qui n'ont pas appliqué le correctif exposent chaque transaction, d'autant que Sansec observe déjà des exploitations en cours sur de vraies boutiques.
Offre partenaire
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Offre partenaire
Un faux Google Tag Manager planté dans le tunnel d'achat
L'attaquant glisse un faux script Google Tag Manager dans le champ « External Scripts » du plugin, une zone utilisée habituellement par les marchands pour ajouter leurs propres balises d'analyse d'audience. À l'écran, le code injecté ressemble à une balise de mesure banale. Mais à y regarder de plus près, un loader JavaScript ouvre une connexion WebSocket vers wss://protect-wss[.]com/ws, le serveur de commande et contrôle des attaquants. Le serveur renvoie alors un skimmer taillé sur mesure pour la boutique ciblée.
À chaque passage en caisse, le script intercepte les champs du formulaire de paiement. Numéros de carte, cryptogrammes, adresses de facturation et autres informations personnelles repartent en temps réel vers l'infrastructure des attaquants. Le commerçant ne voit rien. L'acheteur non plus. La transaction aboutit normalement, et le marchand ne découvre l'intrusion que lorsque sa clientèle lui remonte les fraudes.
Sansec a déjà observé ce maquillage en Google Tag Manager dans plusieurs campagnes Magecart antérieures. Un développeur qui inspecte le code source d'un checkout survole machinalement les lignes qui ressemblent à une balise de tracking connue. Le faux GTM passe alors à travers les relectures rapides. Les scanners automatisés cantonnés aux fichiers locaux du site n'y voient rien non plus, puisque la charge utile se charge depuis un domaine externe.
Une concentration française qui démultiplie l'exposition
59 524 boutiques françaises tournent sous WooCommerce, soit 47,4 % du marché national. Une étude publiée en mars 2026 a analysé plus de 125 000 domaines actifs en France. Shopify est loin derrière avec 22,2 %, PrestaShop avec 19,3 %. Une faille dans une extension populaire de cet écosystème touche potentiellement la moitié des marchands en ligne français ayant installé Funnel Builder.
À l'échelle mondiale, WooCommerce équipe environ 7 millions de boutiques actives selon le répertoire officiel WordPress.org. Funnel Builder revendique plus de 40 000 installations. Tant que l'inventaire complet des sites compromis manque, chaque commerçant non patché doit présumer une exposition active.
En octobre 2025, Wordfence a documenté une variante attribuée au groupe Magecart 12, avec trois types de payloads distincts dont un rafraîchi quotidiennement depuis le serveur de commande. La famille technique apparaît connue depuis longtemps, mais le vecteur d'entrée change à chaque vague.
Sansec recommande aux commerçants concernés d'appliquer immédiatement la version 3.15.0.3 ou supérieure de Funnel Builder. Il faut ensuite ouvrir Réglages > Checkout > External Scripts, repérer tout script inconnu et le supprimer.
Tant que le code malveillant traîne dans les parages, un site fraîchement patché héberge encore le skimmer.
Source : TheHackerNews
