{"id":266402,"date":"2022-07-19T14:57:37","date_gmt":"2022-07-19T16:57:37","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-experts-en-securite-mettent-en-garde-contre-deux-principaux-risques-cote-client-associes-a-lexfiltration-et-a-la-perte-de-donnees\/"},"modified":"2022-07-19T14:57:38","modified_gmt":"2022-07-19T16:57:38","slug":"les-experts-en-securite-mettent-en-garde-contre-deux-principaux-risques-cote-client-associes-a-lexfiltration-et-a-la-perte-de-donnees","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-experts-en-securite-mettent-en-garde-contre-deux-principaux-risques-cote-client-associes-a-lexfiltration-et-a-la-perte-de-donnees\/","title":{"rendered":"Les experts en s\u00e9curit\u00e9 mettent en garde contre deux principaux risques c\u00f4t\u00e9 client associ\u00e9s \u00e0 l&#8217;exfiltration et \u00e0 la perte de donn\u00e9es"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Deux risques c\u00f4t\u00e9 client dominent les probl\u00e8mes de perte et d&#8217;exfiltration de donn\u00e9es\u00a0: des trackers mal plac\u00e9s sur des sites Web et des applications Web et un code c\u00f4t\u00e9 client malveillant extrait de r\u00e9f\u00e9rentiels tiers tels que NPM. <\/p>\n<p>Les chercheurs en s\u00e9curit\u00e9 c\u00f4t\u00e9 client constatent que les trackers mal plac\u00e9s, bien qu&#8217;ils ne soient pas intentionnellement malveillants, constituent un probl\u00e8me croissant et ont des implications claires et significatives en mati\u00e8re de confidentialit\u00e9 en ce qui concerne \u00e0 la fois les probl\u00e8mes de conformit\u00e9 et de r\u00e9glementation, comme HIPAA ou PCI DSS 4.0.  Pour mettre en \u00e9vidence les risques li\u00e9s aux traceurs \u00e9gar\u00e9s, un <a rel=\"nofollow noopener\" href=\"https:\/\/themarkup.org\/pixel-hunt\/2022\/06\/16\/facebook-is-receiving-sensitive-medical-information-from-hospital-websites\" target=\"_blank\">\u00e9tude r\u00e9cente<\/a> par The Markup (une organisation de presse \u00e0 but non lucratif) a examin\u00e9 les 100 meilleurs h\u00f4pitaux am\u00e9ricains de Newsweek.  Ils ont trouv\u00e9 un tracker Facebook sur un tiers des sites Web des h\u00f4pitaux qui envoyait \u00e0 Facebook des donn\u00e9es de sant\u00e9 hautement personnelles chaque fois que l&#8217;utilisateur cliquait sur le bouton &#8220;prendre rendez-vous&#8221;.  Les donn\u00e9es n&#8217;\u00e9taient pas n\u00e9cessairement anonymis\u00e9es, car les donn\u00e9es \u00e9taient connect\u00e9es \u00e0 une adresse IP, et l&#8217;adresse IP et les informations de rendez-vous sont transmises \u00e0 Facebook.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Exfiltration de donn\u00e9es\" border=\"0\" data-original-height=\"340\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1658249857_336_Les-experts-en-securite-mettent-en-garde-contre-deux-principaux.jpg\" title=\"Exfiltration de donn\u00e9es\" \/><\/div>\n<p>Les journalistes et les chercheurs en s\u00e9curit\u00e9 c\u00f4t\u00e9 client ne sont pas les seuls \u00e0 s&#8217;int\u00e9resser aux probl\u00e8mes de confidentialit\u00e9 des donn\u00e9es.  La semaine derni\u00e8re, la FTC a annonc\u00e9 son intention de s\u00e9vir contre l&#8217;utilisation et le partage inappropri\u00e9s ou ill\u00e9gaux de donn\u00e9es hautement sensibles par les entreprises technologiques.  La FTC a indiqu\u00e9 qu&#8217;elle pr\u00e9voyait \u00e9galement de cibler les fausses all\u00e9gations concernant l&#8217;anonymisation des donn\u00e9es.  L&#8217;agence gouvernementale souligne que les informations de sant\u00e9 sensibles combin\u00e9es aux pratiques de s\u00e9curit\u00e9 des donn\u00e9es obscures utilis\u00e9es par les entreprises technologiques sont extr\u00eamement probl\u00e9matiques, la plupart des clients ayant peu ou pas de connaissances sur la mani\u00e8re dont leurs donn\u00e9es sont collect\u00e9es, quelles donn\u00e9es sont collect\u00e9es, comment elles sont utilis\u00e9es ou comment il est prot\u00e9g\u00e9. <\/p>\n<p>L&#8217;industrie de la s\u00e9curit\u00e9 a prouv\u00e9 \u00e0 plusieurs reprises \u00e0 quel point il est facile de r\u00e9-identifier des donn\u00e9es anonymis\u00e9es en combinant plusieurs ensembles de donn\u00e9es pour cr\u00e9er une image claire de l&#8217;identit\u00e9 de l&#8217;utilisateur final. <\/p>\n<p>En plus des trackers Web mal plac\u00e9s, les chercheurs en s\u00e9curit\u00e9 c\u00f4t\u00e9 client mettent en garde contre les risques associ\u00e9s au code JavaScript extrait de r\u00e9f\u00e9rentiels tiers, comme NPM.  Des recherches r\u00e9centes ont r\u00e9v\u00e9l\u00e9 que des gestionnaires de packages contenant du JavaScript obfusqu\u00e9 et malveillant \u00e9taient utilis\u00e9s pour collecter des informations sensibles \u00e0 partir de sites Web et d&#8217;applications Web.  En utilisant des sources telles que NPM, les acteurs malveillants ciblent les organisations via un <a rel=\"nofollow noopener\" href=\"https:\/\/www.feroot.com\/blog\/ttps-javascript-supply-chain-attacks\/?utm_campaign=FY22%20-%20Brand%20Awareness&amp;utm_source=Media%20Advertisement&amp;utm_medium=Article&amp;utm_term=The-Hacker-News&amp;utm_content=JS-Supply-Chain\" target=\"_blank\">Attaque de la cha\u00eene d&#8217;approvisionnement du logiciel JavaScript<\/a> utiliser des composants escrocs pour exfiltrer les donn\u00e9es saisies dans les formulaires par les utilisateurs sur les sites Web qui incluent ce code malveillant.<\/p>\n<p>Les chercheurs en s\u00e9curit\u00e9 c\u00f4t\u00e9 client conseillent plusieurs approches pour identifier et att\u00e9nuer ces deux principaux risques. <a rel=\"nofollow noopener\" href=\"https:\/\/www.feroot.com\/inspector\/?utm_campaign=FY22%20-%20Brand%20Awareness&amp;utm_source=Media%20Advertisement&amp;utm_medium=Article&amp;utm_term=The-Hacker-News&amp;utm_content=Inspector\" target=\"_blank\">Surveillance de la surface d&#8217;attaque c\u00f4t\u00e9 client<\/a> est la plus compl\u00e8te et prot\u00e8ge enti\u00e8rement les utilisateurs finaux et les entreprises contre le risque de vol de donn\u00e9es d\u00fb aux attaques Magecart, e-skimming, cross-site scripting et JavaScript injection.  D&#8217;autres outils, tels que les pare-feu d&#8217;applications Web (WAF), prot\u00e8gent certains aspects de la surface d&#8217;attaque c\u00f4t\u00e9 client, mais ne prot\u00e8gent pas les activit\u00e9s se d\u00e9roulant sur des pages Web dynamiques.  Les politiques de s\u00e9curit\u00e9 du contenu (CSP) sont un autre bon outil de s\u00e9curit\u00e9 c\u00f4t\u00e9 client, mais les CSP sont encombrants.  Les r\u00e9visions manuelles du code pour identifier les probl\u00e8mes avec les CSP peuvent signifier de longues heures (ou jours) \u00e0 parcourir des milliers de lignes de script d&#8217;application Web. <\/p>\n<p>Les professionnels de la s\u00e9curit\u00e9 peuvent \u00e9galement explorer des solutions de cartographie de la surface d&#8217;attaque c\u00f4t\u00e9 client qui int\u00e8grent des informations sur les menaces, des informations sur les acc\u00e8s (quels actifs acc\u00e8dent \u00e0 quelles donn\u00e9es) et la confidentialit\u00e9 (l&#8217;une des donn\u00e9es est-elle partag\u00e9e de mani\u00e8re inappropri\u00e9e avec des sources externes). <\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Exfiltration de donn\u00e9es\" border=\"0\" data-original-height=\"372\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1658249857_379_Les-experts-en-securite-mettent-en-garde-contre-deux-principaux.jpg\" title=\"Exfiltration de donn\u00e9es\" \/><\/div>\n<p>Les solutions de surveillance de la surface d&#8217;attaque c\u00f4t\u00e9 client sont une technologie de cybers\u00e9curit\u00e9 relativement nouvelle qui d\u00e9couvre automatiquement tous les actifs Web d&#8217;une entreprise et rend compte de leur acc\u00e8s aux donn\u00e9es.  Ces solutions utilisent des navigateurs sans t\u00eate pour naviguer \u00e0 travers tout le JavaScript contenu sur le site Web et les pages d&#8217;application Web.  Ils recueillent des informations en temps r\u00e9el sur le fonctionnement du site Web analys\u00e9 du point de vue de l&#8217;utilisateur final. <\/p>\n<p>Un composant technologique cl\u00e9 des solutions de surveillance de la surface d&#8217;attaque c\u00f4t\u00e9 client sont les utilisateurs synth\u00e9tiques, d\u00e9ploy\u00e9s lors des analyses de d\u00e9tection des menaces pour interagir comme un v\u00e9ritable humain le ferait sur des pages Web dynamiques.  Ces utilisateurs synth\u00e9tiques peuvent effectuer diverses activit\u00e9s, notamment cliquer sur des liens actifs, soumettre des formulaires, r\u00e9soudre des Captchas et saisir des informations financi\u00e8res.  L&#8217;interaction synth\u00e9tique de l&#8217;utilisateur est enregistr\u00e9e et surveill\u00e9e, suivie d&#8217;analyses comportementales et d&#8217;une injection logique dans chaque page pour recueillir les informations difficiles \u00e0 collecter manuellement, y compris les donn\u00e9es de formulaire, les donn\u00e9es auxquelles les scripts tiers ont acc\u00e8s, les trackers d\u00e9ploy\u00e9s et leurs activit\u00e9s. , et tous les formulaires ou scripts tiers transf\u00e9rant des donn\u00e9es au-del\u00e0 des fronti\u00e8res nationales.<\/p>\n<p>Les solutions doivent \u00e9galement \u00eatre en mesure d&#8217;op\u00e9rationnaliser tous les probl\u00e8mes d\u00e9couverts dans le processus d&#8217;identification ou de mappage c\u00f4t\u00e9 client gr\u00e2ce \u00e0 l&#8217;utilisation de listes d&#8217;autorisation et de listes de blocage et \u00e0 des analyses d&#8217;informations post-scan pour obtenir des renseignements synth\u00e9tis\u00e9s afin de prot\u00e9ger les applications Web contre les dommages. <\/p>\n<p>Les professionnels de la s\u00e9curit\u00e9 ayant une expertise c\u00f4t\u00e9 client conseillent fortement les organisations dans des secteurs tels que les services financiers, les m\u00e9dias\/divertissement, le commerce \u00e9lectronique, la sant\u00e9 et la technologie\/SaaS qui ont plusieurs applications Web frontales \u00e0 comprendre. <a rel=\"nofollow noopener\" href=\"https:\/\/www.feroot.com\/client-side-security-ebook\/?utm_campaign=FY22%20-%20Brand%20Awareness&amp;utm_source=Media%20Advertisement&amp;utm_medium=Article&amp;utm_term=The-Hacker-News&amp;utm_content=CS-security-ebook\" target=\"_blank\">s\u00e9curit\u00e9 c\u00f4t\u00e9 client<\/a> et comment les risques c\u00f4t\u00e9 client peuvent avoir un impact sur leurs activit\u00e9s.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/07\/security-experts-warn-of-two-primary.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Deux risques c\u00f4t\u00e9 client dominent les probl\u00e8mes de perte et d&#8217;exfiltration de donn\u00e9es\u00a0: des trackers mal plac\u00e9s sur des sites Web et des applications Web et un code c\u00f4t\u00e9 client malveillant extrait de r\u00e9f\u00e9rentiels tiers tels que NPM. Les chercheurs en s\u00e9curit\u00e9 c\u00f4t\u00e9 client constatent que les trackers mal plac\u00e9s, bien qu&#8217;ils ne soient pas [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":266403,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[3558,5376,4168,841,7161,4158,4165,4161,245,1343,692,525,4157,4159,4171,4170,65,91286,4167,3915,4160,4163,4162,976,11630,3979,1835,4172,4169,4166,4164],"class_list":["post-266402","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-associes","tag-client","tag-comment-pirater","tag-contre","tag-cote","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-deux","tag-donnees","tag-experts","tag-garde","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-lexfiltration","tag-logiciel-malveillant-de-ransomware","tag-mettent","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-perte","tag-principaux","tag-risques","tag-securite","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/266402","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=266402"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/266402\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/266403"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=266402"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=266402"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=266402"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}