Imaginez un cambrioleur qui, au lieu de forcer la porte de la banque, enfile l’uniforme des agents de sécurité et se fait remettre les clés par les employés eux-mêmes. C’est, à peu de chose près, ce que des pirates sont parvenus à réaliser en détournant Stripe, l’une des infrastructures de paiement les plus respectées de la planète.
L’affaire a été révélée le 4 juin 2026 dans un billet de blog des chercheurs en sécurité de Sansec. Le scénario est d’une élégance inquiétante : les attaquants n’ont pas cherché à casser le chiffrement de Stripe ni à pirater ses serveurs. Ils ont simplement utilisé l’API légitime du service de paiement pour exfiltrer des données bancaires volées, maquillant leur trafic malveillant en communications parfaitement ordinaires avec un prestataire de confiance. Pour les outils de détection classiques, rien d’anormal : le trafic sortait proprement vers Stripe, point final.
C’est là que réside la vraie nouveauté de cette attaque. Les hackers ne fuient plus en courant dans une ruelle sombre. Ils empruntent l’autoroute officielle, sous le couvert d’une enseigne légitime. La technique s’inscrit dans une tendance lourde que les spécialistes appellent « living off the land » appliqué aux services tiers : exploiter ce que les entreprises ont déjà autorisé, validé, parfois même payé, pour faire passer en douce ce qui ne devrait jamais passer.
Les pirates ont transformé l’infrastructure de confiance en vecteur d’exfiltration, rendant la détection presque impossible pour les solutions de sécurité traditionnelles.
Ce que cette affaire révèle en creux, c’est une faille structurelle dans la façon dont les équipes de sécurité pensent encore leur périmètre. Pendant des années, le raisonnement était simple : ce qui vient d’une source fiable est fiable. Stripe figure sur la liste blanche ? Alors le trafic vers Stripe est propre. Ce syllogisme confortable vient de prendre un sacré coup.
Le problème dépasse largement Stripe, qui n’est ici que la victime collatérale d’une technique. N’importe quel service tiers massivement adopté, Twilio, AWS, Cloudflare, ou même des outils d’analytics courants, peut théoriquement devenir le tuyau discret d’une opération de vol de données. Plus un service est ubiquitaire et réputé, plus il est paradoxalement attractif pour ce type d’usage détourné : aucune alarme ne se déclenche.
Pour les entreprises qui encaissent des paiements en ligne, la leçon est brutale. Il ne suffit plus d’auditer ce qui entre dans vos systèmes : il faut désormais surveiller ce qui en sort, même quand ça ressemble à du travail normal. L’inspection du trafic sortant vers les services de confiance, longtemps jugée superflue voire paranoïaque, devient une nécessité. Ce type d’attaque va sans doute essaimer, précisément parce qu’il a fonctionné et que la recette est désormais documentée publiquement. La prochaine cible ne sera peut-être pas Stripe.
En savoir plus sur Glorieux Geek
Subscribe to get the latest posts sent to your email.