Manque de visibilité : le défi de la protection des sites Web contre les scripts tiers


05 mai 2023Les nouvelles des piratesSécurité du site Web / Sécurité des données

Les applications tierces telles que Google Analytics, Meta Pixel, HotJar et JQuery sont devenues des outils essentiels permettant aux entreprises d’optimiser les performances et les services de leur site Web pour un public mondial. Cependant, à mesure que leur importance a augmenté, la menace de cyberincidents impliquant des applications tierces non gérées et des outils open source a également augmenté. Les entreprises en ligne ont de plus en plus de mal à maintenir une visibilité et un contrôle complets sur le paysage des menaces tierces en constante évolution, avec des menaces sophistiquées telles que les skimmers évasifs, les attaques Magecart et les pratiques de suivi illégales pouvant causer de graves dommages.

Cet article explore les défis de la protection des sites Web modernes contre les scripts tiers et les risques de sécurité associés à un manque de visibilité sur ces scripts.

Invisible aux contrôles de sécurité standard

Les scripts tiers sont souvent invisibles pour les contrôles de sécurité standard tels que les pare-feu d’applications Web (WAF), car ils sont chargés à partir de sources externes qui ne sont pas sous le contrôle du propriétaire du site Web. Lorsqu’un site Web charge un script tiers, il est exécuté dans le navigateur de l’utilisateur avec le propre code du site Web. Cela signifie qu’un WAF, qui est généralement placé devant un site Web pour inspecter et filtrer le trafic entrant, peut ne pas être en mesure de détecter et de bloquer les activités malveillantes provenant d’un script tiers.

De plus, les scripts tiers utilisent souvent techniques d’obscurcissement pour cacher leur véritable objectif ou pour échapper à la détection par les contrôles de sécurité. Cela peut rendre encore plus difficile pour les contrôles de sécurité d’identifier et d’atténuer les menaces potentielles. Par conséquent, il est important que les propriétaires de sites Web prennent des mesures supplémentaires pour surveiller et contrôler le comportement des scripts tiers.

Les risques de sécurité causés par le manque de visibilité

Le manque de visibilité sur vos applications Web tierces et vos outils open source peut poser plusieurs risques de sécurité pour une organisation, notamment :

  1. Violations de données : Les applications tierces ont souvent accès à des données sensibles, et un manque de visibilité sur ces applications peut rendre difficile la détection et la prévention des violations de données ou de l’accès non autorisé à des informations sensibles.
  2. Logiciels malveillants et virus : Les applications tierces peuvent introduire des logiciels malveillants ou des virus dans les systèmes de votre organisation, ce qui peut infecter d’autres systèmes et entraîner une perte de données ou une interruption du système.
  3. Non-conformité : Les applications tierces qui ne sont pas correctement vérifiées ou qui ne sont pas conformes aux exigences réglementaires peuvent exposer une organisation à des risques juridiques et financiers, tels que des amendes et des poursuites.
  4. Vulnérabilités réseau : Les applications tierces intégrées aux systèmes d’une organisation peuvent créer des vulnérabilités réseau pouvant être exploitées par des cybercriminels.
  5. Mauvaises pratiques de sécurité : Certaines applications tierces peuvent ne pas disposer de contrôles de sécurité solides, ce qui peut augmenter le risque d’incidents de sécurité et de violations de données.

Pour atténuer ces risques, il est essentiel d’avoir une compréhension approfondie des applications tierces utilisées par une organisation et de mettre en œuvre des contrôles et des processus de sécurité solides, tels que des évaluations de sécurité continues, la surveillance et l’application de correctifs. De plus, il est important d’avoir des politiques et des procédures claires en place pour sélectionner, vérifier et gérer les applications tierces afin de s’assurer qu’elles répondent aux exigences de sécurité et de conformité de l’organisation.

Solutions de surveillance externes/installées

Une surveillance efficace des scripts tiers nécessite des solutions de surveillance externes ou installées. De nombreuses entreprises installent des scripts de sécurité sur leurs sites Web pour se protéger contre les menaces et les vulnérabilités connues. Cependant, ces scripts ne peuvent pas accéder à de nombreux composants tiers tels que les iFrames et les scripts qu’ils contiennent, car ils sont limités par les restrictions de navigation. Bien que cette approche de surveillance intégrée ait été conçue pour augmenter la sécurité des composants Web, elle crée des limites pour que JavaScript installé fournisse une sécurité totale, car ces iFrames incluent des trackers, des pixels et plusieurs scripts tiers non gérés.

Le manque de visibilité sur les scripts tiers est un défi important pour les entreprises car il limite leur capacité à cartographier tous les trackers, à détecter les fuites de données et à créer un inventaire fonctionnel des applications et scripts tiers. Les activités critiques, telles que la détection de CVE pour les frameworks JS, le suivi des pixels comme Meta et TikTok, et la mauvaise configuration des balises, sont limitées car ces composants sont rendus inaccessibles. Cette limitation expose les entreprises au risque de collecte de donnéesce qui peut entraîner une perte de revenus, une atteinte à la réputation et des amendes réglementaires.

Visibilité améliorée grâce à la surveillance externe

Les solutions de surveillance de sites Web embarquées souffrent d’un manque de visibilité. Par conséquent, une solution de surveillance externe pourrait être la réponse à la résolution de ce défi. Tout récemment, Reflectiz, une solution de surveillance externe, a aidé une grande société de services financiers à détecter des activités suspectes liées à la Pixel TikTok. La société a utilisé Reflectiz sur son site Web pour surveiller sa sécurité, et la solution a détecté une activité non autorisée liée au pixel : le script de pixel TikTok accédait à des données d’entrée sensibles dans l’un de leurs formulaires de connexion. TikTok avait mis à jour son pixel, et la nouvelle version avait “peint” les utilisateurs sur le site Web, accédant aux informations personnelles et transmettant les informations à leurs serveurs. L’équipe d’enquête de Reflectiz a fourni des mesures d’atténuation claires pour mettre fin immédiatement à l’activité non approuvée du pixel.

Ce cas est un exemple clair de la façon dont la surveillance de votre site Web de l’extérieur vous donne une meilleure visibilité sur la surface d’attaque moderne, contrairement aux solutions de surveillance installées qui ne voient tout simplement pas l’image complète et sont incapables de surveiller efficacement les composants de sites Web tiers comme iFrames. , balises et pixels.

Capture d'écran de la détection de pixels escrocs de Tiktok
Capture d’écran de la détection de pixels escrocs de Tiktok

Maintenir une sécurité étanche contre les scripts tiers

Alors, que pouvez-vous faire pour protéger vos sites Web des risques associés aux scripts tiers ? Voici quelques conseils:

  1. Effectuez des audits de sécurité réguliers : Auditez régulièrement votre site Web et les services tiers pour identifier les vulnérabilités et y remédier rapidement.
  2. Utilisez des solutions externes de surveillance de sites Web : Mettez en œuvre des solutions de surveillance de sites Web capables de détecter les activités suspectes et de fournir des mesures d’atténuation claires pour y remédier.
  3. Utilisez un hébergement sécurisé : Choisissez un fournisseur d’hébergement sécurisé qui fournit des sauvegardes, une surveillance et des mises à jour de sécurité régulières.
  4. Formez vos employés : Formez vos employés à reconnaître les menaces potentielles et éduquez-les sur les pratiques en ligne sûres.
  5. Utilisez l’authentification à deux facteurs : Exigez une authentification à deux facteurs pour toutes les zones sensibles de votre site Web, telles que le panneau d’administration et la page de paiement.
  6. Utilisez des règles de sécurité de contenu : Mettez en œuvre des politiques de sécurité du contenu qui restreignent les types de contenu pouvant être chargés sur votre site Web.
  7. Maintenez le logiciel à jour : Mettez régulièrement à jour le logiciel de votre site Web, y compris les services tiers, pour vous assurer que les vulnérabilités connues sont corrigées.

En conclusion, le recours croissant à des scripts tiers a entraîné de nouveaux défis pour les entreprises en ligne cherchant à maintenir la sécurité et la confidentialité de leurs utilisateurs. Le manque de visibilité sur ces scripts augmente la possibilité de violations de données, de cyberattaques et de violations de conformité. Pour atténuer ces risques, les entreprises doivent comprendre les applications tierces utilisées par leurs organisations et mettre en œuvre des contrôles et des processus de sécurité solides. Solutions de surveillance de sites Web externes, comme Reflectizpeut améliorer considérablement la visibilité en ligne et fournir des mesures d’atténuation claires pour traiter les activités suspectes liées aux scripts tiers.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.





ttn-fr-57