La défense côté client du cloud distribué F5 prépare les clients à la norme PCI DSS v4.0.1.

Ces dernières années, les attaques de formjacking et de Magecart sont devenues des menaces dominantes dans le paysage du commerce électronique et des paiements numériques. Ces attaques côté client siphonnent silencieusement des données sensibles, notamment des numéros de carte de crédit, des identifiants de connexion et des informations personnelles identifiables (PII) directement à partir des navigateurs des utilisateurs, sans jamais toucher les serveurs de l'organisation. Les attaques contournent les défenses traditionnelles du périmètre et du côté serveur en injectant du JavaScript malveillant dans des scripts tiers ou directement dans le code frontal.

Le Formjacking consiste à injecter du JavaScript malveillant dans des formulaires en ligne pour capturer les entrées des utilisateurs au niveau du navigateur. Elle est souvent réalisée en exploitant les vulnérabilités des scripts tiers ou des réseaux de diffusion de contenu (CDN), ce qui la rend difficile à détecter à l’aide d’outils de sécurité côté serveur.

Magecart est un terme générique désignant un ensemble de groupes de cybercriminels spécialisés dans l'écrémage du Web. Ces groupes de cybercriminels compromettent généralement les sites de commerce électronique en injectant du code JavaScript qui vole les données de paiement lors du paiement. Ces données volées sont ensuite exfiltrées vers des domaines contrôlés par les attaquants, souvent obscurcies ou cachées sous des requêtes d'apparence légitime.

Les deux types d’attaque partagent un vecteur commun : le navigateur. Et leur succès dépend du peu de visibilité dont disposent les organisations sur ce qui se passe réellement du côté client.

Avec la publication de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) v4.0.1 , le Conseil des normes de sécurité PCI répond directement à la menace croissante des attaques côté client. Pour la première fois, le PCI SSC a inclus deux exigences côté client en vigueur à compter du 31 mars 2025 pour répondre directement à ce nouveau vecteur d'attaque :

Exigence 6.4.3 : Tous les scripts de page de paiement qui sont chargés et exécutés dans le navigateur du consommateur sont gérés comme suit :

• Une méthode est implémentée pour confirmer que chaque script est autorisé.
• Une méthode est implémentée pour assurer l'intégrité de chaque script.
•  Un inventaire de tous les scripts est conservé avec une justification commerciale ou technique écrite expliquant pourquoi chacun est nécessaire.

Exigence 11.6.1 – Un mécanisme de détection des modifications et des falsifications est déployé comme suit :

• Pour alerter le personnel des modifications non autorisées (y compris les indicateurs de compromission, les changements, les ajouts et les suppressions) des en-têtes HTTP ayant un impact sur la sécurité et du contenu du script des pages de paiement telles que reçues par le navigateur du consommateur.
• Le mécanisme est configuré pour évaluer les en-têtes HTTP et les pages de paiement reçus.

Ces nouveaux mandats reconnaissent une vérité fondamentale : les scripts côté client constituent désormais un élément essentiel de la surface d’attaque PCI. Cependant, pour de nombreuses organisations, répondre à ces exigences présente des obstacles opérationnels et techniques, notamment compte tenu de la nature dynamique des écosystèmes JavaScript et de la dépendance à l’égard des services tiers.

Les pare-feu application Web traditionnels (WAF), les solutions de gestion des informations et des événements de sécurité (SIEM) et les outils de point de terminaison fonctionnent sur le périmètre du serveur ou du réseau. Ils manquent de visibilité sur l’environnement d’exécution final : le navigateur de l’utilisateur. Une fois qu'un code malveillant est injecté, que ce soit via un gestionnaire de balises compromis, un CDN ou une attaque de la chaîne d'approvisionnement tierce, les outils côté serveur passent souvent complètement à côté de la brèche. C'est là que F5 Distributed Cloud Client-Side Defense intervient intervient.

Contrairement aux outils côté serveur, Distributed Cloud Client-Side Defense fonctionne dans le navigateur lui-même, fournissant une surveillance en temps réel, une validation de l'intégrité et des alertes sur les comportements malveillants au fur et à mesure qu'ils se produisent. Nous avons récemment mis à jour le service afin qu’il soit spécialement conçu pour répondre aux menaces décrites dans les exigences 6.4.3 et 11.6.1 de la norme PCI DSS v4.0.1.

Voici comment cela aide :

• Inventaire et autorisation des scripts :  Distributed Cloud Client-Side Defense suit et maintient en permanence un inventaire de tous les scripts exécutés sur les pages de paiement, qu'ils soient propriétaires ou tiers. Les organisations peuvent établir une liste autorisée de scripts avec des justifications écrites et être alertées si de nouveaux scripts ou des scripts non autorisés apparaissent, contribuant ainsi à démontrer la conformité avec la norme 6.4.3.
• Validation de l'intégrité du script :  Distributed Cloud Client-Side Defense valide l'intégrité des scripts en instrumentant l'exécution de l' application Web pour surveiller les changements de comportement significatifs qui indiquent un comportement inattendu et potentiellement malveillant, en particulier les nouvelles demandes réseau et les nouveaux accès aux données.
• · Script et sécurité impactant la surveillance des en-têtes HTTP :  Distributed Cloud Client-Side Defense inspecte régulièrement les scripts et les en-têtes HTTP impactant la sécurité pour détecter les modifications non autorisées, alertant si des modifications sont détectées pour aider les organisations à démontrer leur conformité avec la version 11.6.1.
• Détection d'exfiltration : Les modèles de menaces avancés surveillent les demandes sortantes à la recherche de signes d' exfiltration de données. Si un script tente d'envoyer des données de formulaire capturées à un point de terminaison suspect, des alertes sont déclenchées et les organisations peuvent prendre des mesures d'atténuation directes pour bloquer les appels réseau et les lectures de champs de formulaire.
• Alertes et rapports prêts pour l'entreprise : Les équipes de sécurité et de conformité bénéficient d'une télémétrie riche sur le comportement des scripts, les relations de domaine et les flux de données côté navigateur, ce qui est idéal pour les pistes d'audit PCI et les enquêtes médico-légales.