Blog

Les Flux de Menaces à l'Ère de l'IA

L'idée derrière les flux de menaces est valable. Mais, nous dirions qu'elle a fait son temps. Et avec les technologies d'aujourd'hui, il existe de meilleures options. Les flux de menaces sont (souvent) une liste d'informations de sécurité issues de la communauté. Lorsqu'une personne détecte une vulnérabilité, elle publie manuellement une notice dans le flux. Celle-ci est ensuite reprise et mise en avant dans le flux, où les professionnels de la sécurité au sein de leurs entreprises respectives la lisent et vérifient leurs propres systèmes pour voir s'ils sont exposés à un danger potentiel.

Apr 28, 2024 • 6 min read

Simon Wijckmans Founder & CEO

L'idée derrière les flux de menaces est valable. Mais, nous dirions qu'elle a fait son temps. Et avec les technologies d'aujourd'hui, il existe de meilleures options.

Les flux de menaces sont (souvent) une liste d'informations de sécurité issues de la communauté. Lorsqu'une personne détecte une vulnérabilité, elle publie manuellement une notice dans le flux. Celle-ci est ensuite reprise et mise en avant dans le flux, où les professionnels de la sécurité au sein de leurs entreprises respectives la lisent et vérifient leurs propres systèmes pour voir s'ils sont exposés à un danger potentiel. Ces flux présentent quelques avantages, car la communauté est souvent très large, ce qui les rend riches en informations précieuses. Et il est toujours préférable d'adopter une approche préventive en matière de cybersécurité.

Cependant, ce système présente des failles majeures.

Tout ce système nécessite beaucoup de travail manuel. Or, le travail manuel est souvent lent et sujet aux erreurs. C'est un inconvénient considérable pour les flux de menaces. Autre point faible important : ces flux sont souvent publics. Pratique pour que tout le monde puisse accéder à l'information, mais problématique aussi, car… n'importe qui peut y accéder, y compris les acteurs malveillants. De plus, les rapports ne contiennent souvent que des noms de domaine, que les hackers remplacent en quelques minutes sans avoir à réécrire leur code malveillant. C'est une course poursuite sans fin où les cibles ne sont jamais vraiment attrapées, juste légèrement perturbées. Loin d'être idéal.

Cela dit, examinons plus en détail le fonctionnement exact des flux de menaces.

Comment les Flux de Menaces Collectent-ils leurs Informations ?

Analyse du trafic réseau : La surveillance du trafic réseau permet d'identifier des schémas suspects, des signatures de logiciels malveillants et des communications avec des adresses IP malveillantes connues.
Honeypots et leurres : Certains systèmes sont délibérément configurés pour être attaqués ; les organisations peuvent ainsi collecter des informations sur les nouvelles menaces et les méthodes d'attaque.
Rapports et analyses de violations de données : Les incidents de sécurité et violations divulgués publiquement fournissent des renseignements précieux sur les tactiques, techniques et procédures (TTPs) utilisées par les attaquants.
Collaboration et partage : Les entités partagent souvent leurs renseignements entre elles, mettant en commun leurs ressources pour mieux comprendre le paysage des cybermenaces.
Surveillance du dark web et des forums : Certains fournisseurs de renseignements sur les menaces surveillent les forums et marchés du dark web où les attaquants peuvent échanger des outils, des services et des données volées, afin de détecter les menaces émergentes.
Threat Hunting : Les chercheurs utilisent des données externes de tiers (parfois aussi internes) pour identifier de nouveaux indicateurs de compromission (IOCs). Les portails tiers populaires incluent Virustotal, Shodan et Censys.

Que Faire de Ces Informations ?

Mesures préventives : En vous abonnant à des flux de menaces, vous pouvez ajouter des adresses IP, domaines et signatures de fichiers malveillants connus à la liste noire, afin de prévenir les attaques avant qu'elles ne surviennent.

Réponse aux incidents et forensique : Lorsqu'un incident de sécurité se produit, il est signalé et intégré au flux de menaces.

Tout cela est positif !

Les Limites des Flux de Menaces

Vulnérabilités zero-day : Si vous êtes ciblé et compromis, les flux de menaces ne vous seront d'aucun secours. Pire encore, vous ne vous en rendrez probablement compte que plusieurs jours après. Relever le pont-levis une fois que les attaquants l'ont déjà franchi ne sert pas à grand-chose.
Vulnérabilités liées aux processus et aux humains : Nous l'avons déjà évoqué, mais le travail manuel et la saisie humaine sont sujets aux erreurs. Par ailleurs, les attaques par ingénierie sociale, par exemple, exploitent les failles humaines pour inciter des individus à divulguer des informations sensibles ou à accorder des accès à des systèmes sécurisés.
Correctifs et atténuation : L'application de correctifs aux vulnérabilités n'est pas toujours simple. Les délais de déploiement, les problèmes de compatibilité et la disponibilité des correctifs peuvent laisser les systèmes exposés pendant de longues périodes.
Gestion des risques : Les organisations doivent prioriser les vulnérabilités en fonction du risque, en se concentrant sur celles qui représentent la menace la plus significative pour leurs actifs critiques.
Informations erronées : Le caractère open source des flux de menaces les rend susceptibles de générer des faux positifs. N'importe qui peut être amené à prendre pour argent comptant des informations erronées, placées intentionnellement ou par accident. Il est important de valider régulièrement les informations, car un domaine autrefois malveillant peut désormais être utilisé de manière légitime, et vice versa.

La Solution Plus Complète

Nous avons développé cside pour être l'antidote le plus puissant contre les attaques JavaScript. Nous intégrons les données des flux de menaces dans notre solution complète, qui se présente sous la forme d'un petit script qui effectue les opérations suivantes :

Réécrire les sources des scripts pour les proxifier via le proxy cside et effectuer certaines détections côté navigateur. Cela place cside dans le flux de la requête entre l'utilisateur et le script tiers, offrant une visibilité totale sur les scripts servis, pour 100 % des sessions. De nombreux autres fournisseurs échantillonnent les sessions navigateur, ce qui signifie que des attaques conçues pour ne cibler qu'un faible pourcentage d'utilisateurs pourraient passer sous les radars pendant longtemps.
Détecter les scripts inline et les comportements suspects qui peuvent n'apparaître que dans le navigateur spécifique depuis lequel le script a été chargé. C'est là notre ingrédient secret.

Nous surveillons également plus de 60 attributs et utilisons l'IA pour signaler en temps réel tout indicateur d'intention malveillante. Notre solution prend en compte le contexte historique, ce qui signifie que les changements dans le temps sont examinés, facilitant la détection de prises de contrôle soudaines. En outre, cside utilise l'IA pour analyser le code des scripts tiers. La combinaison de nos mécanismes de détection en constante évolution nous permet de repérer une tentative en quelques millisecondes et de la bloquer avant toute opération malveillante, ou d'alerter en cas de comportement dangereux.

Lisez ici comment notre solution complète fonctionne par rapport aux autres.

D'ici le 31 mars 2025, l'exigence 6.4.3 de la norme PCI DSS 4.0 impose à tous les sites web acceptant des paiements en ligne d'autoriser chaque script sur les pages de paiement, de maintenir un inventaire de tous les scripts et d'en garantir l'intégrité. L'utilisation du niveau gratuit de cside vous permet de satisfaire à ces exigences.

En savoir plus sur les exigences de la norme PCI DSS 4.0.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Réserver une démonstration

Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les pixels non autorisés dans les jeux et la responsabilité RGPD

GDPR et jeux d'argent en ligne : pourquoi les pixels non autorisés créent un problème de double responsabilité

Les pixels non autorisés sur les sites de jeux d'argent créent une responsabilité GDPR et des suspensions de comptes publicitaires à la fois.

Comment Bloquer Bytespider (le Crawler IA de TikTok)

Bytespider explore votre site pour les systèmes IA de Bytedance. Découvrez comment le bloquer via robots.txt et plages d'IP, et les enjeux de souveraineté des données.

Couverture sombre du blog montrant trois méthodes d'attaque de scripts malveillants : redirections déclenchées depuis le navigateur, containers GTM fantômes avec tags malveillants et payloads mobiles géociblés

Comment les scripts malveillants détournent les parcours des joueurs de casino

Des scripts injectés redirigent les joueurs de casino avant le lobby. Les outils réseau ne les voient pas. Voici comment la détection doit fonctionner.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur la sécurité des scripts pour les opérateurs de jeux en APAC

Sécurité des scripts côté client pour les opérateurs de jeux d'argent en ligne en APAC

Comment les opérateurs de jeux d'argent APAC (Japon, Singapour, Philippines, Australie) surveillent les scripts tiers sur des sessions réelles.

Comment Bloquer Amazon Buy for Me sur Votre Site Web

Amazon Buy for Me fait ses achats sur votre site pour les membres Prime. Découvrez comment il collecte vos données de prix et de produits et comment la détection au niveau du navigateur vous redonne le contrôle.

Prévention des prises de contrôle de compte : le guide complet 2026

Le guide opérationnel ATO 2026 : un modèle de bout en bout pour défendre connexion, récupération, session et post-authentification contre les prises de contrôle pilotées par agents IA et bots.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les scripts affiliés compromis qui volent les revenus des casinos

Comment les scripts d'affiliation compromis volent les revenus des casinos en ligne

Les scripts d'affiliation compromis redirigent joueurs et volent commissions sur les pages de casino, silencieusement et à grande échelle.

Couverture sombre du blog montrant trois vecteurs d'attaque par extension de navigateur : redirections vers des clones de phishing, vol de token de session et réécriture des champs de paiement dans le DOM

Comment les extensions de navigateur attaquent les joueurs de casino en ligne : ce que les opérateurs peuvent faire

Les extensions de navigateur volent des tokens de session et détournent des paiements sur des sites de casino. Voici comment les détecter.

Comment Bloquer la Création de Faux Comptes Alimentée par l'IA

Les agents IA créent de faux comptes avec un comportement humain qui déjoue les CAPTCHA. Découvrez les signaux navigateur qui révèlent les inscriptions automatisées.

Comment Bloquer CCBot (le Robot d'Indexation IA de Common Crawl)

CCBot alimente les jeux de données Common Crawl utilisés pour entraîner GPT-3, BLOOM, LLaMA et bien d'autres modèles d'IA. Découvrez comment le bloquer et ce que le blocage fait réellement.