Blog

Un nouveau danger des Progressive Web Apps que très peu connaissent

L'adoption croissante des PWA s'accompagne d'une augmentation des risques de sécurité côté client. Et l'industrie ? Elle en parle à peine.

Dec 20, 2024 • 3 min read

Simon Wijckmans Founder & CEO

Les Progressive Web Apps (PWA) ont révolutionné notre façon de créer et de déployer des applications. Il n'est pas étonnant qu'elles aient gagné en popularité. Elles simplifient le développement en combinant la flexibilité du web avec les capacités du mobile. Des fonctionnalités comme l'accès hors ligne, les notifications push et l'intégration matérielle... le tout dans la commodité d'un navigateur. Avec des mises à jour comme celles d'iOS 16.4 en 2023, intégrer des capacités de navigateur dans les applications est plus facile que jamais, alimentant la nouvelle vague d'adoption des PWA.

Mais il y a un revers. Avec leur essor vient une augmentation des risques de sécurité côté client. Et l'industrie ? Elle en parle à peine.

Capture montrant Tinder comme Progressive Web App — L'application Tinder est une PWA.

Les PWA sont des navigateurs

À la base, les PWA sont des navigateurs. Elles transforment chaque application en un micro-environnement web. C'est leur force : elles se chargent instantanément, réutilisent le code du site web et se connectent aux services web de manière transparente. Pourtant, cette architecture même les expose également aux vulnérabilités du web, en particulier aux risques côté client liés aux scripts tiers.

Les sites web modernes dépendent de ces scripts pour tout, de l'analyse à l'engagement des utilisateurs. Bien que pratiques, ils élargissent considérablement votre surface d'attaque. Dans une PWA, ces mêmes scripts s'exécutent directement dans l'application, amplifiant les risques tels que les violations de données, les injections malveillantes et bien plus encore.

Votre risque ne se limite plus aux visiteurs du site web ; il s'étend à chaque utilisateur de l'application.

Gardez à l'esprit la chaîne d'approvisionnement web

Le côté client est la dernière étape de la chaîne. C'est là que votre code, qu'il soit propriétaire ou tiers, se charge dans le navigateur ou la PWA de l'utilisateur.

Les scripts tiers provenant de fournisseurs externes sont essentiels mais échappent souvent à votre contrôle, ce qui en fait des cibles privilégiées pour les attaquants. Des scripts d'analyse compromis qui divulguent des données utilisateur au code malveillant injecté dans les chatbots, le côté client est sous menace constante.

Créer une PWA ne fait qu'amplifier ces risques en les intégrant dans votre application.

Les PWA ne sont pas mauvaises

Cela dit, nous ne préconisons pas d'éviter les PWA. Selon vos besoins, elles sont probablement le choix le plus judicieux. Ne négligez simplement pas les défis de sécurité qu'elles apportent. Malheureusement, les vulnérabilités côté client, en particulier celles provenant des scripts tiers, sont souvent ignorées.

Nous avons créé cside, un outil de surveillance et de sécurité des scripts tiers. Cela résout tous ces problèmes dans les environnements web et PWA. Installez-le dès maintenant, ou contactez-nous - nous serons ravis de vous aider à démarrer.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Les Progressive Web Apps peuvent s'installer en silence et demander des capacités proches d'une application native. Une PWA malveillante peut envoyer des notifications push, s'exécuter en arrière-plan et usurper des marques de confiance de manière bien plus convaincante qu'une simple page web.

Surveillez les scripts tiers afin qu'un attaquant ne puisse pas injecter de manifest ou enregistrer un service worker. cside signale les nouveaux comportements de scripts et de workers côté client, seul niveau où ce risque est visible.

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Réserver une démonstration

Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité

GDPR et jeux d'argent en ligne : pourquoi les pixels non autorisés créent un problème de double responsabilité

Les pixels non autorisés sur les sites de jeux d'argent créent une responsabilité GDPR et des suspensions de comptes publicitaires à la fois.

Comment Bloquer Bytespider (le Crawler IA de TikTok)

Bytespider explore votre site pour les systèmes IA de Bytedance. Découvrez comment le bloquer via robots.txt et plages d'IP, et les enjeux de souveraineté des données.

Couverture sombre du blog montrant trois méthodes d'attaque de scripts malveillants : redirections déclenchées depuis le navigateur, containers GTM fantômes avec tags malveillants et payloads mobiles géociblés

Comment les scripts malveillants détournent les parcours des joueurs de casino

Des scripts injectés redirigent les joueurs de casino avant le lobby. Les outils réseau ne les voient pas. Voici comment la détection doit fonctionner.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur la sécurité des scripts pour les opérateurs de jeux en APAC

Sécurité des scripts côté client pour les opérateurs de jeux d'argent en ligne en APAC

Comment les opérateurs de jeux d'argent APAC (Japon, Singapour, Philippines, Australie) surveillent les scripts tiers sur des sessions réelles.

Comment Bloquer Amazon Buy for Me sur Votre Site Web

Amazon Buy for Me fait ses achats sur votre site pour les membres Prime. Découvrez comment il collecte vos données de prix et de produits et comment la détection au niveau du navigateur vous redonne le contrôle.

Prévention des prises de contrôle de compte : le guide complet 2026

Le guide opérationnel ATO 2026 : un modèle de bout en bout pour défendre connexion, récupération, session et post-authentification contre les prises de contrôle pilotées par agents IA et bots.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les scripts affiliés compromis qui volent les revenus des casinos

Comment les scripts d'affiliation compromis volent les revenus des casinos en ligne

Les scripts d'affiliation compromis redirigent joueurs et volent commissions sur les pages de casino, silencieusement et à grande échelle.

Couverture sombre du blog montrant trois vecteurs d'attaque par extension de navigateur : redirections vers des clones de phishing, vol de token de session et réécriture des champs de paiement dans le DOM

Comment les extensions de navigateur attaquent les joueurs de casino en ligne : ce que les opérateurs peuvent faire

Les extensions de navigateur volent des tokens de session et détournent des paiements sur des sites de casino. Voici comment les détecter.

Comment Bloquer la Création de Faux Comptes Alimentée par l'IA

Les agents IA créent de faux comptes avec un comportement humain qui déjoue les CAPTCHA. Découvrez les signaux navigateur qui révèlent les inscriptions automatisées.

Comment Bloquer CCBot (le Robot d'Indexation IA de Common Crawl)

CCBot alimente les jeux de données Common Crawl utilisés pour entraîner GPT-3, BLOOM, LLaMA et bien d'autres modèles d'IA. Découvrez comment le bloquer et ce que le blocage fait réellement.