Agissez maintenant : Les nouvelles exigences PCI DSS v4.0 répondent aux attaques basées sur le navigateur
Attention aux détaillants en ligne et aux vendeurs de commerce électronique : En matière de protection des données côté client et des paiements en ligne contre l’écrémage numérique et les attaques Magecart, il y a un nouveau shérif en ville.
En mars 2022, le Payment Card Industry (PCI) Security Standards Council a publié une version révisée de sa norme de sécurité des données, PCI DSS v4.0, qui définit les exigences de sécurité minimales que les commerçants doivent respecter lorsqu'ils stockent, traitent et transmettent les données des titulaires de cartes. Les exigences révisées comprennent un certain nombre d’améliorations visant à garantir des transactions en ligne sûres et sécurisées afin de protéger les consommateurs, les entreprises et les émetteurs de cartes lors des transactions commerciales en ligne.
Les nouvelles exigences se concentrent sur la nécessité de surveiller et de gérer les bibliothèques JavaScript tierces basées sur un navigateur qui sont intégrées aux sites Web de commerce électronique pour fournir des fonctionnalités prêtes à l'emploi telles que les iFrames de traitement des paiements, les chatbots, la publicité, les boutons de partage social et les scripts de suivi. Bien que ces bibliothèques JavaScript aident les entreprises à accélérer le développement de sites Web, elles ouvrent également un large vecteur de menace pour les cybercriminels, car ces scripts peuvent être facilement compromis via l'écrémage numérique et les attaques Magecart pour voler des informations d'identification, des informations de carte de crédit et d'autres informations personnelles identifiables.
Bien que ces violations soient clairement préjudiciables aux consommateurs escroqués, elles sont également néfastes pour votre entreprise, car elles peuvent entraîner des violations de conformité, une perte de revenus, une baisse du cours des actions, des critiques hostiles sur les réseaux sociaux et une atteinte à la valeur de la marque.
Bien que la conformité aux nouvelles exigences PCI DSS 4.0 ne soit pas obligatoire avant 2025, n’attendez pas ! Les types d’attaques auxquels les exigences s’attaquent se produisent aujourd’hui. Il est désormais temps de protéger la réputation de votre entreprise et vos clients contre les attaques et les fraudes en mettant en œuvre les protections renforcées dès que possible.
Quels sont les dangers des attaques côté client ?
Il n’y a pas si longtemps, les applications Web commerciales étaient conçues comme un morceau de code monolithique diffusé à partir d’un serveur Web sur site. Cependant, les applications Web modernes d'aujourd'hui sont très différentes et sont souvent conçues en regroupant des bibliothèques JavaScript provenant de tiers, une grande partie du traitement s'effectuant côté client, dans le navigateur du consommateur. On estime que 70 à 80 % d’une page Web typique est composée de bibliothèques tierces, et certains de ces scripts contiennent du code provenant d’un autre ensemble de scripts tiers. Cette longue chaîne de dépendances de code signifie que les entreprises n'ont pas beaucoup de visibilité ou de contrôle sur le code qui s'exécute réellement sur leurs sites Web.
Les acteurs de la menace se rendent compte qu’en raison de la portée et de l’échelle de ces dépendances tierces, les organisations ont du mal à gérer, suivre et sécuriser correctement le code qui s’exécute dans leur environnement, et ne peuvent même pas détecter quand le code a changé ou est exploité. Ce manque de visibilité offre aux cybercriminels la possibilité d’injecter des scripts malveillants dans une page Web légitime ou dans le code d’une application Web et de lancer des attaques pour intercepter, manipuler et détourner les sessions des utilisateurs. Ils sont alors en mesure de récupérer des données personnelles et des informations de paiement, de prendre le contrôle et de dégrader des sites Web, de présenter du faux contenu, de créer de nouveaux formulaires ou de modifier des formulaires légitimes, ce qui peut ouvrir la voie à la fraude et à la prise de contrôle de comptes.
Ce que requiert la norme PCI DSS v4.0
La norme révisée identifie spécifiquement les améliorations de la sécurité Web côté client comme étant essentielles pour toute entreprise acceptant les paiements en ligne. La norme stipule que tous les scripts de page de paiement chargés et exécutés dans le navigateur du consommateur nécessiteront une gestion complète. Plus précisément, la nouvelle norme 6.4.3 exige que les vendeurs de commerce électronique mettent en œuvre :
- Une méthode pour confirmer que chaque script est autorisé
- Une méthode pour assurer l'intégrité de chaque script
- Un inventaire de tous les scripts avec une justification écrite expliquant pourquoi chacun est nécessaire
La nouvelle norme exige que les commerçants examinent leurs politiques et procédures pour vérifier que des processus sont définis pour gérer tous les scripts de page de paiement qui sont chargés et exécutés dans le navigateur du consommateur. Ils doivent également interroger le personnel responsable et examiner les registres d’inventaire et les configurations du système pour vérifier que tous les scripts de page de paiement chargés et exécutés dans le navigateur du consommateur sont gérés conformément à tous les éléments spécifiés dans cette exigence.
En outre, la section 11.6 de la norme révisée exige que les modifications non autorisées sur les pages de paiement soient détectées et traitées. Cela nécessite un mécanisme de détection des modifications et des falsifications qui alerte le personnel de toute modification non autorisée des en-têtes HTTP et du contenu des pages de paiement reçues par le navigateur du consommateur. Les paramètres de configuration doivent être examinés au moins une fois tous les sept jours ou à la fréquence définie dans l’évaluation de l’analyse des risques de l’organisation.
Le respect de ces exigences via des solutions manuelles ou héritées est coûteux et nécessite beaucoup de ressources. Étant donné que les scripts de formulaire de paiement s'exécutent côté client, les commerçants ont peu de visibilité sur leur comportement, ce qui permet au code malveillant d'échapper facilement à la détection. De plus, les commerçants ont peu de contrôle sur le code tiers, comme les bibliothèques JavaScript dynamiques qui exploitent les fonctionnalités des pages Web comme les processeurs de paiement, les formulaires de consentement aux cookies, les chatbots ou les trackers publicitaires, car ils sont fréquemment mis à jour et modifiés, souvent à l’insu du commerçant.
Les techniques de détection existantes telles que l’intégrité des sous-ressources (SRI), qui effectue des contrôles d’intégrité pour garantir que les scripts n’ont pas été falsifiés, et la politique de sécurité du contenu (CSP), qui limite les emplacements à partir desquels les navigateurs peuvent charger un script et envoyer des données, ne suffisent plus à protéger les applications Web en constante évolution d’aujourd’hui.
Aidez votre entreprise à se conformer à la norme PCI DSS v4.0, le plus tôt possible
Il n’y a aucune raison d’attendre 2025 pour se conformer aux mandats de sécurité requis par la norme PCI DSS v4.0. Agissez maintenant pour protéger votre entreprise contre les attaques et vos clients contre la fraude et la prise de contrôle de compte.
F5 Distributed Cloud Client-Side Defense peut vous aider immédiatement à répondre aux nouvelles exigences PCI DSS v4.0 et à vous protéger contre les attaques Magecart, formjacking, digital skimming et PII harvesting en automatisant la surveillance des pages Web pour détecter les codes suspects, en générant des alertes exploitables et en arrêtant immédiatement l'exfiltration de données avec une atténuation en un clic.
Pour plus d'informations sur la manière dont vous pouvez protéger la confidentialité de vos clients et votre entreprise contre les violations de conformité tout en préservant la confiance des consommateurs et la réputation de la marque, lisez cette présentation de la solution ou regardez cette démonstration de produit.