{"id":253256,"date":"2022-07-12T13:48:17","date_gmt":"2022-07-12T15:48:17","guid":{"rendered":"https:\/\/teknomers.com\/fr\/eviter-la-mort-par-mille-scripts-utiliser-des-politiques-de-securite-de-contenu-automatisees\/"},"modified":"2022-07-12T13:48:18","modified_gmt":"2022-07-12T15:48:18","slug":"eviter-la-mort-par-mille-scripts-utiliser-des-politiques-de-securite-de-contenu-automatisees","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/eviter-la-mort-par-mille-scripts-utiliser-des-politiques-de-securite-de-contenu-automatisees\/","title":{"rendered":"\u00c9viter la mort par mille scripts\u00a0: utiliser des politiques de s\u00e9curit\u00e9 de contenu automatis\u00e9es"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Les entreprises savent qu&#8217;elles doivent s\u00e9curiser leurs scripts c\u00f4t\u00e9 client.  Les politiques de s\u00e9curit\u00e9 du contenu (CSP) sont un excellent moyen de le faire.  Mais les CSP sont lourds.  Une erreur et vous avez une faille de s\u00e9curit\u00e9 c\u00f4t\u00e9 client potentiellement importante.  Trouver ces lacunes signifie de longues et fastidieuses heures (ou jours) de r\u00e9vision manuelle du code \u00e0 travers des milliers de lignes de script sur vos applications Web.  Les politiques de s\u00e9curit\u00e9 de contenu automatis\u00e9es peuvent aider \u00e0 rationaliser le processus de r\u00e9vision du code en identifiant d&#8217;abord tous les scripts propri\u00e9taires et tiers et les actifs auxquels ils acc\u00e8dent, puis en g\u00e9n\u00e9rant une politique de s\u00e9curit\u00e9 de contenu appropri\u00e9e pour aider \u00e0 mieux s\u00e9curiser la surface d&#8217;attaque c\u00f4t\u00e9 client.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Politiques de s\u00e9curit\u00e9 du contenu\" border=\"0\" data-original-height=\"439\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1657640897_935_Eviter-la-mort-par-mille-scripts-utiliser-des-politiques-de.jpg\" title=\"Politiques de s\u00e9curit\u00e9 du contenu\" \/><\/div>\n<p>Il y a peu de d\u00e9veloppeurs ou de professionnels AppSec qui pr\u00e9tendent aimer d\u00e9ployer des CSP.  Tout d&#8217;abord, le CSP doit fonctionner pour l&#8217;application Web sp\u00e9cifique.  Ensuite, l&#8217;\u00e9quipe doit s&#8217;assurer qu&#8217;elle fournit le niveau de protection appropri\u00e9.  Le CSP ne peut pas non plus entrer en conflit avec des widgets ou plugins existants (ou la d\u00e9cision doit \u00eatre prise de ne pas d\u00e9ployer le CSP ou de d\u00e9sactiver ces plugins, ce qui peut causer des probl\u00e8mes dans d&#8217;autres domaines, tels que l&#8217;engagement client, le marketing et les ventes).<\/p>\n<p>Et puis, lorsqu&#8217;un CSP \u00e9choue, il y a l&#8217;audit redout\u00e9 pour d\u00e9terminer le pourquoi et le o\u00f9.<\/p>\n<p>Le probl\u00e8me d&#8217;\u00e9vitement d&#8217;audit CSP (c&#8217;est-\u00e0-dire \u00e9viter les r\u00e9visions manuelles de code ou la mort par mille scripts) est assez courant.  Aujourd&#8217;hui, les applications Web c\u00f4t\u00e9 client contiennent des milliers de scripts, assembl\u00e9s \u00e0 partir de plusieurs biblioth\u00e8ques open source ou d&#8217;autres r\u00e9f\u00e9rentiels tiers et de quatri\u00e8me partie.  Peu d&#8217;\u00e9quipes de d\u00e9veloppement ou de s\u00e9curit\u00e9 prennent le temps de conserver un enregistrement d\u00e9taill\u00e9 de tous les scripts utilis\u00e9s dans l&#8217;assemblage d&#8217;applications Web, y compris leurs fonctions, leurs sources et s&#8217;ils ont \u00e9t\u00e9 mis \u00e0 jour ou corrig\u00e9s pour r\u00e9soudre les probl\u00e8mes de s\u00e9curit\u00e9 connus.<\/p>\n<p>M\u00eame lorsque les \u00e9quipes identifient toutes les sources de scripts tiers, cela ne garantit pas que les scripts sont s\u00fbrs.  Des probl\u00e8mes persistants surviennent toujours avec les gestionnaires de packages contenant du JavaScript obfusqu\u00e9 et malveillant utilis\u00e9 pour collecter des informations sensibles \u00e0 partir de sites Web et d&#8217;applications Web.  Dans un exemple r\u00e9cent, des chercheurs ont d\u00e9couvert que des packages malveillants avaient \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9s 27 000 fois par des d\u00e9veloppeurs sans m\u00e9fiance. <\/p>\n<p>Malheureusement, le probl\u00e8me d&#8217;\u00e9vitement d&#8217;audit CSP \u00e9tend une surface d&#8217;attaque d\u00e9j\u00e0 importante c\u00f4t\u00e9 client.<\/p>\n<p>Les probl\u00e8mes avec les CSP n&#8217;ont rien \u00e0 voir avec leur valeur.  Les CSP sont excellents pour fournir des rapports de violation et une optimisation des politiques et aident \u00e0 d\u00e9couvrir les scripts vuln\u00e9rables qui conduisent \u00e0 des attaques par injection JavaScript, des scripts intersites (XSS) et des attaques par \u00e9cr\u00e9mage, comme Magecart.  Les politiques de s\u00e9curit\u00e9 de contenu manuelles sont simplement p\u00e9nibles \u00e0 g\u00e9rer, ce qui signifie que les d\u00e9veloppeurs peuvent \u00e9viter les processus CSP critiques, ce qui entra\u00eene un risque de s\u00e9curit\u00e9 accru.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.feroot.com\/domainguard\/\" target=\"_blank\">Politiques de s\u00e9curit\u00e9 de contenu automatis\u00e9es<\/a> aider \u00e0 g\u00e9rer les CSP pour mieux prot\u00e9ger la surface d&#8217;attaque c\u00f4t\u00e9 client et supprimer le risque associ\u00e9 \u00e0 la surveillance manuelle des CSP.  En identifiant tous les scripts propri\u00e9taires et tiers, les actifs num\u00e9riques et les donn\u00e9es auxquelles ces actifs acc\u00e8dent, les entreprises peuvent rationaliser le processus de cr\u00e9ation et de gestion du CSP et am\u00e9liorer la s\u00e9curit\u00e9 globale c\u00f4t\u00e9 client.  Les CSP automatis\u00e9s sont g\u00e9r\u00e9s au niveau du domaine pour un meilleur reporting et un meilleur contr\u00f4le des versions. <\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Politiques de s\u00e9curit\u00e9 du contenu\" border=\"0\" data-original-height=\"306\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1657640897_169_Eviter-la-mort-par-mille-scripts-utiliser-des-politiques-de.jpg\" title=\"Politiques de s\u00e9curit\u00e9 du contenu\" \/><\/div>\n<p>Les CSP automatis\u00e9s fonctionnent en explorant un site Web ou une application Web et en initiant des utilisateurs synth\u00e9tiques pour \u00e9valuer comment les scripts fonctionnent sur l&#8217;application Web et \u00e0 quel type de donn\u00e9es le script peut acc\u00e9der.  Le syst\u00e8me g\u00e9n\u00e8re ensuite le CSP pour l&#8217;aligner sur les besoins de s\u00e9curit\u00e9 du site Web ou de l&#8217;application Web.  Les CSP automatis\u00e9s fonctionnent \u00e9galement dans l&#8217;environnement de production r\u00e9el, pour \u00e9muler des politiques pour des tests rapides (et \u00e9viter le d\u00e9ploiement constant de CSP dans un environnement de d\u00e9veloppement) et se concentrer sur la r\u00e9duction des violations de politique aussi pr\u00e8s que possible de z\u00e9ro. <\/p>\n<p>Les fonctionnalit\u00e9s suppl\u00e9mentaires d&#8217;un CSP automatis\u00e9 incluent la cr\u00e9ation de nouvelles politiques apr\u00e8s une violation d\u00e9tect\u00e9e pour permettre des mises \u00e0 jour rapides et traiter les menaces de s\u00e9curit\u00e9 actuelles et l&#8217;ingestion de donn\u00e9es de journal dans la gestion des incidents et des \u00e9v\u00e9nements de s\u00e9curit\u00e9 (SIEM) et d&#8217;autres syst\u00e8mes de collecte de donn\u00e9es bas\u00e9s sur des journaux pour une int\u00e9gration dans les pratiques de s\u00e9curit\u00e9 actuelles. et flux de travail.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Politiques de s\u00e9curit\u00e9 du contenu\" border=\"0\" data-original-height=\"333\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1657640897_599_Eviter-la-mort-par-mille-scripts-utiliser-des-politiques-de.jpg\" title=\"Politiques de s\u00e9curit\u00e9 du contenu\" \/><\/div>\n<p>Avec des rapports de violation enti\u00e8rement int\u00e9gr\u00e9s, une solution CSP automatis\u00e9e compl\u00e8te les processus et workflows de s\u00e9curit\u00e9 actuels.  Il fournit \u00e9galement une prise en charge essentielle des normes r\u00e9glementaires et de conformit\u00e9 telles que PCI DSS 4.0, HIPAA et autres.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.feroot.com\/\" target=\"_blank\">S\u00e9curit\u00e9 Feroot<\/a> propose DomainGuard, un CSP automatis\u00e9 et sp\u00e9cialement con\u00e7u qui aide les organisations \u00e0 g\u00e9rer leur surface d&#8217;attaque c\u00f4t\u00e9 client en simplifiant le processus de gestion des politiques de s\u00e9curit\u00e9 du contenu.  DomainGuard int\u00e8gre le signalement des violations aux outils de s\u00e9curit\u00e9 existants pour compl\u00e9ter les processus et flux de travail de s\u00e9curit\u00e9 actuels et r\u00e9duire consid\u00e9rablement le temps n\u00e9cessaire \u00e0 la cr\u00e9ation et \u00e0 la gestion des CSP entre les \u00e9quipes, les sites Web et les applications Web.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/07\/avoiding-death-by-thousand-scripts.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les entreprises savent qu&#8217;elles doivent s\u00e9curiser leurs scripts c\u00f4t\u00e9 client. Les politiques de s\u00e9curit\u00e9 du contenu (CSP) sont un excellent moyen de le faire. Mais les CSP sont lourds. Une erreur et vous avez une faille de s\u00e9curit\u00e9 c\u00f4t\u00e9 client potentiellement importante. Trouver ces lacunes signifie de longues et fastidieuses heures (ou jours) de r\u00e9vision [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":253257,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[88802,4168,10670,4158,4165,4161,133,8407,4157,4159,4171,4170,4167,1979,4160,759,4163,4162,164,6362,54464,1835,4172,4169,7926,4166,4164],"class_list":["post-253256","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-automatisees","tag-comment-pirater","tag-contenu","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-eviter","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mille","tag-mises-a-jour-de-la-cybersecurite","tag-mort","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-par","tag-politiques","tag-scripts","tag-securite","tag-securite-informatique","tag-securite-internet","tag-utiliser","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/253256","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=253256"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/253256\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/253257"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=253256"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=253256"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=253256"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}