BLOG

Défense côté client : La pièce manquante dans votre armure de sécurité pour les vacances

Vignette de Jim Downey
Jim Downey
Publié le 09 décembre 2022

La saison des achats en ligne pour les fêtes de fin d'année est bien lancée, les détaillants en ligne anticipant des dépenses de consommation robustes : Deloitte prévoit que les ventes de commerce électronique augmenteront de 12,8 % à 14,3 % d'une année sur l' autre pendant la période des fêtes 2022-2023, pour atteindre des ventes totales comprises entre 260 et 264 milliards de dollars, selon un rapport de Retail Info Systems .

Cela représente beaucoup d’activité sur vos applications de commerce électronique, et elle ne proviendra pas uniquement d’elfes joyeux des fêtes vérifiant leurs listes de courses.

C’est également la période de l’année où les acteurs de la cybermenace intensifient leurs activités, cherchant à profiter de l’augmentation des achats en ligne pendant les fêtes.

Bientôt disponible sur un navigateur près de chez vous : Cybermenaces côté client

Les attaques de sécurité côté client sont désormais si répandues et dangereuses que l'OWASP a publié une nouvelle liste des 10 principales menaces de sécurité liées aux navigateurs. Elles incluent de nombreux exploits côté client qui ciblent les sites de commerce en ligne pendant la saison des fêtes, comme le formjacking, le skimming numérique, Magecart, ainsi que d’autres vulnérabilités JavaScript introduites par le recours à des sources JavaScript tierces.

Pour améliorer votre parcours client, les sites e-commerce dynamiques intègrent du code tiers dans leurs applications pour activer des fonctions courantes comme les formulaires de paiement, les chatbots, la publicité, les boutons de partage social et les scripts de suivi. Ces fonctionnalités JavaScript offrent des capacités prêtes à l’emploi, accélérant votre mise sur le marché et libérant vos ressources de développement. Mais elles génèrent aussi un « shadow code » — un code que vous n'avez pas écrit, ne pouvez pas contrôler, qui évolue sans que vous le sachiez, et qui échappe aux revues de sécurité de votre organisation. Sans visibilité sur le code exécuté dans votre environnement, vous ne pouvez pas détecter quand ce code change ou est compromis. Ces scripts offrent aux acteurs malveillants une large surface d’attaque, permettant aux incidents de sécurité de se produire dans le navigateur de votre client, sans que ni l’utilisateur ni le commerçant ne s’en aperçoivent.

Types d'attaques côté client

Les attaques côté client sont lancées pour intercepter et manipuler les sessions utilisateur, dans le but de prendre le contrôle et de dégrader des sites Web, de mener des attaques de phishing, de présenter du faux contenu, de créer de nouveaux formulaires, de détourner des formulaires légitimes demandant à l'utilisateur de fournir son numéro de sécurité sociale ou ses informations de compte bancaire, ou de prendre le contrôle du compte de l'utilisateur. Les données capturées sont généralement exfiltrées vers le serveur de commande et de contrôle de l’attaquant.

Il existe plusieurs types d’attaques côté client visant à exploiter des fichiers JavaScript tiers.

Les attaques Magecart sont probablement les plus connues. Magecart est un terme plus large pour une gamme d'attaques de chaîne d'approvisionnement de logiciels, notamment le détournement de formulaire et l'écrémage numérique, également appelé e-skimming, qui volent des données personnelles (le plus souvent les coordonnées des clients et les informations de carte de crédit) à partir de formulaires de paiement en ligne. Selon le rapport 2022 sur la protection des applications de F5 Labs : Dans l'attente d'une exfiltration , les attaques de détournement de formulaire constituaient l'essentiel des exploits Web ayant conduit à des divulgations de violations.

Les criminels exploitent généralement les données clients capturées pour mener des actes malveillants tels que le vol d'identité ou la prise de contrôle de compte, ou très souvent pour simplement récolter les informations afin de les emballer et de les vendre sous forme de décharges de données sur le Dark Web.

Bonnes pratiques pour contrecarrer les attaques côté client

Les attaques côté client continueront d’être un défi pour les organisations en ligne tant que les criminels seront en mesure d’intégrer du code malveillant dans les applications Web, et ces exploits peuvent être particulièrement dommageables pendant les vacances, lorsque les acheteurs et vos équipes de cybersécurité ont déjà beaucoup d’autres préoccupations sur lesquelles se concentrer. Étant donné le peu d’entreprises qui sont conscientes de ces types d’attaques et le peu d’entre elles qui ont mis en place des méthodes de défense appropriées pour détecter et contrecarrer ces exploits, les attaquants continueront de réussir.

Cependant, voici quelques bonnes pratiques que vous pouvez mettre en œuvre pour aider à atténuer les risques côté client :

  • Effectuer un audit d’inventaire de scripts. Faites l'inventaire de tous les scripts intégrés sur votre site, identifiez qui les possède et les autorise, à quoi ils servent et comment ils sont maintenus. Cela inclut les scripts ajoutés directement dans le HTML des pages ainsi que les scripts ajoutés via les gestionnaires de balises. Sachez ce que fait le code tiers que vous implémentez et s’il accède à des données sensibles ou exécute des fonctions critiques. Les organisations ont non seulement besoin d'une visibilité sur le JavaScript de leur site, mais elles doivent également savoir ce que les scripts collectent pour éviter de violer les réglementations sur la confidentialité des données telles que le RGPD de l'Union européenne et le California Consumer Privacy Act (CCPA) et garantir la conformité avec les prochaines exigences PCI DSS 6.4.3 et 11.
  • Établir un cadre de gestion des risques liés aux tiers. Établissez une structure de gouvernance pour l’ajout, la surveillance et la maintenance des scripts afin de garantir l’intégrité de chaque script. Créez un processus qui vous permet d’identifier quand une demande d’informations personnelles identifiables ou d’autres informations sensibles implique l’envoi de données à un nouveau domaine.
  • Appliquez le principe de confiance zéro. Adoptez une approche de confiance zéro pour tous les scripts sur votre site. Ne faites jamais confiance aveuglément à personne. Soyez capable de surveiller, détecter et alerter dès l’ajout ou la modification d’un script. Les méthodes de détection, comme l’intégrité des sous-ressources (SRI) et la politique de sécurité du contenu (CSP), conservent leur utilité mais ne suffisent plus à protéger les applications web en constante évolution. Les organisations qui ont adopté la confiance zéro ont réduit de 20,5 % les coûts liés à une violation de données par rapport à celles qui l’ignoraient.
  • Établir une stratégie d’atténuation rapide. Découvrez la création d'un processus d'atténuation simple en un clic qui vous permet d'examiner les modifications de script et les alertes sur un tableau de bord interactif avec un outil qui fournit une atténuation en un clic pour bloquer les appels réseau qui exfiltrent des données de manière malveillante.

Conclusion: Ne négligez pas la menace des attaques côté client pendant cette période de fêtes

Lorsque les clients se connectent à leurs comptes sur votre site de commerce électronique pendant les vacances, ils vous confient leurs données personnelles sensibles. Prenez les mesures nécessaires pour garantir que les scripts tiers exécutés dans votre environnement de commerce électronique ne causent aucun dommage.

Protégez votre entreprise et vos clients contre les exploits JavaScript côté client avec F5 Distributed Cloud Client-Side Defense , une solution de surveillance et d'atténuation qui protège les informations d'identification des clients, les détails financiers et les informations personnelles contre Magecart, le détournement de formulaire et d'autres attaques de la chaîne d'approvisionnement côté client. Ce service SaaS est rapide et facile à déployer, offre une valeur immédiate, garde les données personnelles et financières de vos clients hors de portée des criminels et protège contre la perte de données qui porterait atteinte à la confiance des consommateurs.

Pour en savoir plus, regardez la vidéo Comment les commerçants peuvent se défendre contre les attaques Magecart et écoutez cette démonstration de F5 Distributed Cloud Client-Side Defense .

Ne laissez pas des sources JavaScript compromises gâcher les fêtes pour votre entreprise et vos clients.