Deux risques côté client dominent les problèmes de perte et d’exfiltration de données : des trackers mal placés sur des sites Web et des applications Web et un code côté client malveillant extrait de référentiels tiers tels que NPM.
Les chercheurs en sécurité côté client constatent que les trackers mal placés, bien qu’ils ne soient pas intentionnellement malveillants, constituent un problème croissant et ont des implications claires et significatives en matière de confidentialité en ce qui concerne à la fois les problèmes de conformité et de réglementation, comme HIPAA ou PCI DSS 4.0. Pour mettre en évidence les risques liés aux traceurs égarés, un étude récente par The Markup (une organisation de presse à but non lucratif) a examiné les 100 meilleurs hôpitaux américains de Newsweek. Ils ont trouvé un tracker Facebook sur un tiers des sites Web des hôpitaux qui envoyait à Facebook des données de santé hautement personnelles chaque fois que l’utilisateur cliquait sur le bouton « prendre rendez-vous ». Les données n’étaient pas nécessairement anonymisées, car les données étaient connectées à une adresse IP, et l’adresse IP et les informations de rendez-vous sont transmises à Facebook.
Les journalistes et les chercheurs en sécurité côté client ne sont pas les seuls à s’intéresser aux problèmes de confidentialité des données. La semaine dernière, la FTC a annoncé son intention de sévir contre l’utilisation et le partage inappropriés ou illégaux de données hautement sensibles par les entreprises technologiques. La FTC a indiqué qu’elle prévoyait également de cibler les fausses allégations concernant l’anonymisation des données. L’agence gouvernementale souligne que les informations de santé sensibles combinées aux pratiques de sécurité des données obscures utilisées par les entreprises technologiques sont extrêmement problématiques, la plupart des clients ayant peu ou pas de connaissances sur la manière dont leurs données sont collectées, quelles données sont collectées, comment elles sont utilisées ou comment il est protégé.
L’industrie de la sécurité a prouvé à plusieurs reprises à quel point il est facile de ré-identifier des données anonymisées en combinant plusieurs ensembles de données pour créer une image claire de l’identité de l’utilisateur final.
En plus des trackers Web mal placés, les chercheurs en sécurité côté client mettent en garde contre les risques associés au code JavaScript extrait de référentiels tiers, comme NPM. Des recherches récentes ont révélé que des gestionnaires de packages contenant du JavaScript obfusqué et malveillant étaient utilisés pour collecter des informations sensibles à partir de sites Web et d’applications Web. En utilisant des sources telles que NPM, les acteurs malveillants ciblent les organisations via un Attaque de la chaîne d’approvisionnement du logiciel JavaScript utiliser des composants escrocs pour exfiltrer les données saisies dans les formulaires par les utilisateurs sur les sites Web qui incluent ce code malveillant.
Les chercheurs en sécurité côté client conseillent plusieurs approches pour identifier et atténuer ces deux principaux risques. Surveillance de la surface d’attaque côté client est la plus complète et protège entièrement les utilisateurs finaux et les entreprises contre le risque de vol de données dû aux attaques Magecart, e-skimming, cross-site scripting et JavaScript injection. D’autres outils, tels que les pare-feu d’applications Web (WAF), protègent certains aspects de la surface d’attaque côté client, mais ne protègent pas les activités se déroulant sur des pages Web dynamiques. Les politiques de sécurité du contenu (CSP) sont un autre bon outil de sécurité côté client, mais les CSP sont encombrants. Les révisions manuelles du code pour identifier les problèmes avec les CSP peuvent signifier de longues heures (ou jours) à parcourir des milliers de lignes de script d’application Web.
Les professionnels de la sécurité peuvent également explorer des solutions de cartographie de la surface d’attaque côté client qui intègrent des informations sur les menaces, des informations sur les accès (quels actifs accèdent à quelles données) et la confidentialité (l’une des données est-elle partagée de manière inappropriée avec des sources externes).
Les solutions de surveillance de la surface d’attaque côté client sont une technologie de cybersécurité relativement nouvelle qui découvre automatiquement tous les actifs Web d’une entreprise et rend compte de leur accès aux données. Ces solutions utilisent des navigateurs sans tête pour naviguer à travers tout le JavaScript contenu sur le site Web et les pages d’application Web. Ils recueillent des informations en temps réel sur le fonctionnement du site Web analysé du point de vue de l’utilisateur final.
Un composant technologique clé des solutions de surveillance de la surface d’attaque côté client sont les utilisateurs synthétiques, déployés lors des analyses de détection des menaces pour interagir comme un véritable humain le ferait sur des pages Web dynamiques. Ces utilisateurs synthétiques peuvent effectuer diverses activités, notamment cliquer sur des liens actifs, soumettre des formulaires, résoudre des Captchas et saisir des informations financières. L’interaction synthétique de l’utilisateur est enregistrée et surveillée, suivie d’analyses comportementales et d’une injection logique dans chaque page pour recueillir les informations difficiles à collecter manuellement, y compris les données de formulaire, les données auxquelles les scripts tiers ont accès, les trackers déployés et leurs activités. , et tous les formulaires ou scripts tiers transférant des données au-delà des frontières nationales.
Les solutions doivent également être en mesure d’opérationnaliser tous les problèmes découverts dans le processus d’identification ou de mappage côté client grâce à l’utilisation de listes d’autorisation et de listes de blocage et à des analyses d’informations post-scan pour obtenir des renseignements synthétisés afin de protéger les applications Web contre les dommages.
Les professionnels de la sécurité ayant une expertise côté client conseillent fortement les organisations dans des secteurs tels que les services financiers, les médias/divertissement, le commerce électronique, la santé et la technologie/SaaS qui ont plusieurs applications Web frontales à comprendre. sécurité côté client et comment les risques côté client peuvent avoir un impact sur leurs activités.