BLOG

Défense côté client : La pièce manquante dans votre armure de sécurité pour les vacances

Vignette de Jim Downey
Jim Downey
Publié le 09 décembre 2022

La saison des achats en ligne pour les fêtes de fin d'année est bien lancée, les détaillants en ligne anticipant des dépenses de consommation robustes : Deloitte prévoit que les ventes de commerce électronique augmenteront de 12,8 % à 14,3 % d'une année sur l' autre pendant la période des fêtes 2022-2023, pour atteindre des ventes totales comprises entre 260 et 264 milliards de dollars, selon un rapport de Retail Info Systems .

Cela représente beaucoup d’activité sur vos applications de commerce électronique, et elle ne proviendra pas uniquement d’elfes joyeux des fêtes vérifiant leurs listes de courses.

C’est également la période de l’année où les acteurs de la cybermenace intensifient leurs activités, cherchant à profiter de l’augmentation des achats en ligne pendant les fêtes.

Bientôt disponible sur un navigateur près de chez vous : Cybermenaces côté client

Les attaques de sécurité côté client sont devenues si répandues et dangereuses que l'OWASP a compilé une nouvelle liste des 10 principales menaces de sécurité basées sur les navigateurs . Il s'agit notamment de nombreux exploits côté client qui menacent les sites de commerce électronique pendant cette période des fêtes, tels que le détournement de formulaire, l'écrémage numérique, Magecart et d'autres vulnérabilités JavaScript basées sur le navigateur introduites par le recours à des sources JavaScript tierces.

Pour améliorer le parcours client, les sites de commerce électronique dynamiques intègrent du code tiers dans leurs applications pour activer des fonctionnalités communes telles que les formulaires de paiement, les chatbots, la publicité, les boutons de partage social et les scripts de suivi. Ces fonctionnalités JavaScript offrent des fonctionnalités prêtes à l'emploi, accélérant les délais de mise sur le marché et libérant des ressources de développement, mais elles génèrent également du « code fantôme » : du code que vous n'avez pas écrit, que vous ne pouvez pas contrôler, qui change à votre insu et qui ne passe pas les examens de sécurité de votre organisation. Sans visibilité sur le code qui s’exécute dans votre environnement, les entreprises ne peuvent pas détecter quand le code a changé ou a été compromis. Ces scripts offrent aux acteurs malveillants une large surface d’attaque à exploiter, permettant aux incidents de sécurité de se produire directement dans le navigateur du client sans que l’utilisateur ou le commerçant ne s’en rende compte.

Types d'attaques côté client

Les attaques côté client sont lancées pour intercepter et manipuler les sessions utilisateur, dans le but de prendre le contrôle et de dégrader des sites Web, de mener des attaques de phishing, de présenter du faux contenu, de créer de nouveaux formulaires, de détourner des formulaires légitimes demandant à l'utilisateur de fournir son numéro de sécurité sociale ou ses informations de compte bancaire, ou de prendre le contrôle du compte de l'utilisateur. Les données capturées sont généralement exfiltrées vers le serveur de commande et de contrôle de l’attaquant.

Il existe plusieurs types d’attaques côté client visant à exploiter des fichiers JavaScript tiers.

Les attaques Magecart sont probablement les plus connues. Magecart est un terme plus large pour une gamme d'attaques de chaîne d'approvisionnement de logiciels, notamment le détournement de formulaire et l'écrémage numérique, également appelé e-skimming, qui volent des données personnelles (le plus souvent les coordonnées des clients et les informations de carte de crédit) à partir de formulaires de paiement en ligne. Selon le rapport 2022 sur la protection des applications de F5 Labs : Dans l'attente d'une exfiltration , les attaques de détournement de formulaire constituaient l'essentiel des exploits Web ayant conduit à des divulgations de violations.

Les criminels exploitent généralement les données clients capturées pour mener des actes malveillants tels que le vol d'identité ou la prise de contrôle de compte, ou très souvent pour simplement récolter les informations afin de les emballer et de les vendre sous forme de décharges de données sur le Dark Web.

Bonnes pratiques pour contrecarrer les attaques côté client

Les attaques côté client continueront d’être un défi pour les organisations en ligne tant que les criminels seront en mesure d’intégrer du code malveillant dans les applications Web, et ces exploits peuvent être particulièrement dommageables pendant les vacances, lorsque les acheteurs et vos équipes de cybersécurité ont déjà beaucoup d’autres préoccupations sur lesquelles se concentrer. Étant donné le peu d’entreprises qui sont conscientes de ces types d’attaques et le peu d’entre elles qui ont mis en place des méthodes de défense appropriées pour détecter et contrecarrer ces exploits, les attaquants continueront de réussir.

Cependant, voici quelques bonnes pratiques que vous pouvez mettre en œuvre pour aider à atténuer les risques côté client :

  • Effectuer un audit d’inventaire de scripts. Faites l'inventaire de tous les scripts intégrés sur votre site, identifiez qui les possède et les autorise, à quoi ils servent et comment ils sont maintenus. Cela inclut les scripts ajoutés directement dans le HTML des pages ainsi que les scripts ajoutés via les gestionnaires de balises. Sachez ce que fait le code tiers que vous implémentez et s’il accède à des données sensibles ou exécute des fonctions critiques. Les organisations ont non seulement besoin d'une visibilité sur le JavaScript de leur site, mais elles doivent également savoir ce que les scripts collectent pour éviter de violer les réglementations sur la confidentialité des données telles que le RGPD de l'Union européenne et le California Consumer Privacy Act (CCPA) et garantir la conformité avec les prochaines exigences PCI DSS 6.4.3 et 11.
  • Établir un cadre de gestion des risques liés aux tiers. Établissez une structure de gouvernance pour l’ajout, la surveillance et la maintenance des scripts afin de garantir l’intégrité de chaque script. Créez un processus qui vous permet d’identifier quand une demande d’informations personnelles identifiables ou d’autres informations sensibles implique l’envoi de données à un nouveau domaine.
  • Appliquer la confiance zéro . Adoptez une approche de confiance zéro pour tous les scripts de votre site. N’accordez jamais une confiance absolue à qui que ce soit. Établissez la capacité de surveiller, de détecter et d’alerter lorsqu’un nouveau script est ajouté ou qu’un script existant est modifié. Les techniques de détection, telles que l'intégrité des sous-ressources (SRI) et la politique de sécurité du contenu (CSP), ont toujours de la valeur mais ne sont plus suffisantes pour protéger les applications Web en constante évolution d'aujourd'hui. Les organisations qui ont appliqué le principe Zero Trust ont réalisé des coûts de violation de données inférieurs de 20,5 % à ceux de celles qui n'ont pas appliqué le principe Zero Trust.
  • Établir une stratégie d’atténuation rapide. Découvrez la création d'un processus d'atténuation simple en un clic qui vous permet d'examiner les modifications de script et les alertes sur un tableau de bord interactif avec un outil qui fournit une atténuation en un clic pour bloquer les appels réseau qui exfiltrent des données de manière malveillante.

Conclusion: Ne négligez pas la menace des attaques côté client pendant cette période de fêtes

Lorsque les clients se connectent à leurs comptes sur votre site de commerce électronique pendant les vacances, ils vous confient leurs données personnelles sensibles. Prenez les mesures nécessaires pour garantir que les scripts tiers exécutés dans votre environnement de commerce électronique ne causent aucun dommage.

Protégez votre entreprise et vos clients contre les exploits JavaScript côté client avec F5 Distributed Cloud Client-Side Defense , une solution de surveillance et d'atténuation qui protège les informations d'identification des clients, les détails financiers et les informations personnelles contre Magecart, le détournement de formulaire et d'autres attaques de la chaîne d'approvisionnement côté client. Ce service SaaS est rapide et facile à déployer, offre une valeur immédiate, garde les données personnelles et financières de vos clients hors de portée des criminels et protège contre la perte de données qui porterait atteinte à la confiance des consommateurs.

Pour en savoir plus, regardez la vidéo Comment les commerçants peuvent se défendre contre les attaques Magecart et écoutez cette démonstration de F5 Distributed Cloud Client-Side Defense .

Ne laissez pas les sources JavaScript compromises gâcher les vacances de votre entreprise et de vos clients.