La méthodologie de ces attaques évolue parallèlement à la motivation des pirates. Au temps des premières attaques Web, il s’agissait uniquement de “défacer” un site en éditant son contenu et en y ajoutant des messages ou des images choquantes. Désormais, il est important de ne pas être démasqué pour que le propriétaire du site ne sache pas que sa sécurité a été compromise. Grâce à JavaScript, les pirates utilisent ces attaques pour obtenir de l’argent plutôt que pour nuire par principe. En 2007, le site Web du Dolphin Stadium, stade où se déroule la finale du championnat de football américain (Super Bowl XLI), a été attaqué et du code JavaScript malveillant avait été déposé sur l’en-tête de sa page d’accueil. Un programme enregistrant les saisies au clavier (“key logger” ) ou un fichier de “backdoor” était téléchargé sur l’ordinateur de l’internaute qui visitait ce site, permettant ainsi au pirate d’accéder à l’ensemble de la machine infectée. L’acte de piratage est passé inaperçu jusqu’à ce qu’une société de sécurité parcourt le site dans le cadre d’une analyse globale. Même si le site du stade a probablement été piraté en raison de sa popularité et parce qu’il faisait l’actualité à ce moment- là, ce piratage s’inscrivait dans le cadre d’une attaque plus vaste qui visait 25 000 sites Web.
On associe souvent à tort le piratage et la fraude à la carte de crédit et à la fraude bancaire. En effet, toute information recèle toujours une certaine valeur pour quelqu’un. Le vol d’un identifiant par exemple permet non seulement de dépenser l’argent d’autrui, mais aussi d’ouvrir des comptes crédits chez des fournisseurs ou d’ouvrir de nouveaux locaux, le tout aux dépens d’un tiers. Les données des clients et des employés peuvent également avoir de la valeur pour certaines entreprises.
