Écrémeur WebRTC
Des chercheurs en cybersécurité ont identifié un dispositif de fraude aux paiements sophistiqué qui exploite les canaux de données WebRTC pour récupérer furtivement des charges utiles malveillantes et exfiltrer des données sensibles. Contrairement aux dispositifs classiques qui s'appuient sur les requêtes HTTP ou les balises d'image, cette variante opère en dehors des schémas de trafic web conventionnels, ce qui complique considérablement sa détection.
Table des matières
Point d’entrée d’exploitation : la vulnérabilité PolyShell
La campagne d'attaques a été attribuée à l'exploitation de PolyShell, une vulnérabilité critique affectant les plateformes Magento Open Source et Adobe Commerce. Cette faille permet à des attaquants non authentifiés de télécharger des fichiers exécutables arbitraires via l'API REST, ce qui conduit à l'exécution de code à distance.
Depuis le 19 mars 2026, cette vulnérabilité est exploitée activement à grande échelle. Plus de 50 adresses IP ont été observées menant des opérations de scan, et les chercheurs ont détecté des compromissions liées à PolyShell dans environ 56,7 % des boutiques en ligne vulnérables.
Mécanismes d’attaque : WebRTC comme canal furtif
Le skimmer fonctionne comme un script auto-exécutable intégré aux sites web compromis. À son exécution, il établit une connexion WebRTC avec une adresse IP prédéfinie (202.181.177.177) via le port UDP 3479. Par ce biais, il récupère du code JavaScript malveillant supplémentaire, qu'il injecte directement dans la page web afin de collecter les données de paiement.
Les principales caractéristiques de cette technique sont les suivantes :
- Utilisation des canaux de données WebRTC au lieu de la communication traditionnelle basée sur HTTP
- Récupération et exécution dynamiques de scripts malveillants
- Injection directe dans les pages web traitant les informations de paiement
Évasion des systèmes de sécurité : contourner les défenses traditionnelles
Cette approche représente une avancée notable dans les techniques d'écrémage, car elle permet de contourner les contrôles de sécurité largement déployés. La politique de sécurité du contenu (CSP), souvent utilisée pour restreindre les connexions sortantes non autorisées, ne permet pas d'atténuer efficacement cette menace.
Même les environnements dotés de configurations CSP strictes bloquant tout le trafic HTTP non autorisé restent vulnérables. Le trafic WebRTC transite par UDP chiffré DTLS plutôt que par HTTP, le rendant invisible à de nombreux outils de surveillance et d'inspection réseau. Par conséquent, les données de paiement exfiltrées peuvent échapper à toute détection.
Disponibilité des correctifs et mesures défensives
Adobe a corrigé la vulnérabilité PolyShell dans la version 2.4.9-beta1, publiée le 10 mars 2026. L'application immédiate du correctif est essentielle pour empêcher son exploitation.
Afin de réduire l'exposition et de détecter toute compromission potentielle, les mesures suivantes sont fortement recommandées :
Restreindre l'accès au répertoire pub/media/custom_options/
Effectuez des analyses approfondies pour détecter les web shells, les portes dérobées et autres éléments malveillants.
Implications stratégiques pour la sécurité du commerce électronique
L'émergence du skimming basé sur WebRTC souligne une évolution vers des techniques d'évasion plus sophistiquées, au niveau du protocole. Les organisations exploitant des plateformes de commerce électronique doivent étendre leurs stratégies de défense au-delà de la simple surveillance HTTP et intégrer une inspection plus approfondie des canaux de communication non traditionnels afin de contrer efficacement les menaces en constante évolution.
