Skip to main content
Simon Wijckmans
Founder & CEO

Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Articles by Simon Wijckmans

Adyen et la norme PCI DSS : ce que le processeur couvre face à ce que vous devez faire

Reliez la frontière de propriété des scripts des exigences PCI DSS 6.4.3 et 11.6.1 à chaque intégration Adyen : Hosted Pages, Drop-in, Components et API uniquement.

Jul 10, 2026

Formjacking vs Magecart vs skimming numérique : quelle différence ?

Le skimming numérique est le résultat (le vol de données), le formjacking la technique de capture, et Magecart l'écosystème des attaquants. Voici leurs liens.

Jul 10, 2026

Gestion du risque des scripts tiers : un cadre de gouvernance

Cadre de gouvernance du risque des scripts tiers : inventaire, ownership, tiers de données, monitoring de changements, cadence, RACI et preuve d'audit.

Jul 10, 2026

Credential stuffing : comment le détecter et le bloquer à la connexion

Le credential stuffing teste à grande échelle des paires identifiant/mot de passe volées. Repérez les signaux de connexion qui le trahissent et bloquez-le.

Jul 9, 2026

Stripe vous rend-il conforme à la norme PCI ? Ce que les exigences PCI DSS 6.4.3 et 11.6.1 imposent toujours

Stripe réduit votre périmètre PCI DSS et peut vous faire passer au SAQ A, mais ne rend pas votre site pleinement conforme. Les exigences 6.4.3 et 11.6.1 restent les vôtres.

Jul 9, 2026

Qu'est-ce que le skimming de carte en ligne ? Comment les attaquants volent les données de paiement sur les sites web

Du JavaScript malveillant sur les pages de paiement capture les numéros de carte avant le chiffrement. Fonctionnement du skimming de carte en ligne, exemples réels et exigences PCI DSS 4.0.1.

Jul 8, 2026

Qu'est-ce que la détection de voyage impossible et comment fonctionne-t-elle ?

La détection de voyage impossible signale les sessions où la localisation change plus vite que physiquement possible. Découvrez son fonctionnement et ce qu'apporte la couche navigateur.

Jul 4, 2026

Au cœur de l'attaque de chaîne d'approvisionnement côté client de $3M contre Polymarket

Un fournisseur tiers compromis a injecté un vidangeur de portefeuilles dans le frontend de Polymarket et volé environ $3M, smart contracts intacts.

Jun 26, 2026

Risques de sécurité de l'IA agentique pour les sites web : confidentialité, conformité et détection

Les navigateurs d'IA agentique contournent le consentement aux cookies, exécutent de vrais scripts JavaScript et créent des lacunes de conformité RGPD invisibles pour la détection de bots au niveau CDN.

Jun 22, 2026

Conformité HIPAA et technologies de suivi web : le guide pour les établissements de santé

L'OCR du HHS a statué que les pixels de suivi et les scripts tiers sur les sites web de santé peuvent exposer des PHI. Ce que les entités couvertes doivent faire pour se conformer.

Jun 20, 2026

Prévention des prises de contrôle de compte : le guide complet 2026

Le guide opérationnel ATO 2026 : un modèle de bout en bout pour défendre connexion, récupération, session et post-authentification contre les prises de contrôle pilotées par agents IA et bots.

Jun 18, 2026

Inventaire et autorisation des scripts PCI DSS 6.4.3 : comment bâtir le registre

Le workflow d'inventaire et d'autorisation des scripts pour PCI DSS 6.4.3 : champs de chaque registre, qui signe, et une ligne d'exemple à copier.

Jun 18, 2026

Attaque de la chaîne d'approvisionnement Polyfill.io : chronologie complète, analyse et leçons (2024–2026)

Une chronologie complète et sourcée de l'attaque Polyfill.io, de la vente du domaine en 2024 aux sanctions contre Funnull en 2025, et comment la supprimer aujourd'hui.

Jun 14, 2026

DBSC face à l'empreinte d'appareil : ce que la sécurité de session de Chrome ne couvre pas

Le DBSC de Chrome bloque le rejeu de cookies volés, mais reste limité à Chrome, post-connexion et sans identité d'appareil. Voici la fraude qu'il laisse.

Jun 9, 2026

Quand une API d'IA renvoie la réponse d'un autre utilisateur : caches partagés et fuites entre clients

Un incident de l'API Claude semble avoir renvoyé les réponses d'autres utilisateurs. Pourquoi les caches partagés provoquent des fuites entre clients.

Jun 5, 2026

Ce n'est pas la MFA qui a échoué, mais le modèle de confiance : phishing par code d'appareil et vol de jetons OAuth (Kali365)

Kali365 détourne l'octroi d'autorisation d'appareil d'OAuth 2.0 pour voler des jetons Microsoft 365 après la MFA. Décryptage technique du flux, de FOCI et de la détection.

Jun 5, 2026

L'IA comprime le cycle d'exploitation : le zero-day développé par l'IA de Google et ce que cela signifie pour les navigateurs

Google a signalé un zero-day qu'il pense développé par l'IA. Le vrai changement n'est pas un meilleur phishing, mais la vitesse vers le navigateur.

Jun 3, 2026

La session navigateur est devenue un plan de contrôle de sécurité. Les attaquants le savaient depuis des années.

La proposition DBSC de Google confirme un virage clair : les sessions navigateur doivent valider le terminal après la connexion.

May 30, 2026

L'effet boule de neige : comment Mini Shai-Hulud transforme npm en réseau de distribution de ver

Mini Shai-Hulud a transformé des paquets npm en boucle de vol d'identifiants. Voici comment la vague AntV s'est propagée.

May 19, 2026

Pourquoi les CAPTCHA ne sont plus une défense fiable contre les bots

Les CAPTCHA ne sont plus une défense principale fiable contre les bots. Voyez pourquoi ils échouent et comment augmenter le coût attaquant.

May 19, 2026

Funnull sanctionnée : ce que Polyfill[.]io a révélé sur le blanchiment d'infrastructure

Les sanctions visant Funnull montrent que Polyfill relevait d'un risque plus large de blanchiment d'infrastructure.

May 18, 2026

L'inférence sur appareil arrive dans votre stack de sécurité : pour le meilleur et pour le pire

L'IA locale peut protéger les données sensibles et renforcer l'endpoint, mais crée des risques de prompt injection, télémétrie et navigateur.

May 18, 2026

cside nommé SourceForge Spring 2026 Top Performer pour la sécurité côté client

cside a été nommé SourceForge Spring 2026 Top Performer, signe de confiance des utilisateurs en sécurité côté client et PCI.

May 13, 2026

cside copréside la sécurité antifraude du navigateur au W3C

Simon Wijckmans copréside désormais l'AFCG du W3C tandis que cside aide à définir des signaux privés contre la fraude IA.

May 12, 2026

Comment les agents OpenClaw contournent la detection des bots (et comment les arreter)

Les agents OpenClaw associes a des outils de navigateur furtif peuvent contourner la detection des bots traditionnelle. Decouvrez comment fonctionne la fraude agentique et comment l'empreinte du navigateur aide a l'arreter.

Apr 28, 2026

Comment les données de localisation avancées préviennent la prise de contrôle de compte et détectent la réutilisation non sécurisée de jetons par les agents IA

Comment les données de localisation avancées aident les équipes de sécurité à détecter les déplacements impossibles, la réutilisation de sessions volées et l'activité non sécurisée des agents IA avant qu'une prise de contrôle de compte ne se transforme en fraude ou en perte de données.

Apr 15, 2026

Comment des scripts tiers compromis peuvent injecter des instructions dans les agents IA

Les scripts tiers adaptent déjà le comportement d'un site web en fonction des caractéristiques du navigateur. Cette même flexibilité peut être détournée pour détecter les agents IA et leur injecter des instructions trompeuses ou du contenu altéré.

Apr 13, 2026

DarkSword : une chaîne d'exploitation en JavaScript pur détourne des sites légitimes

DarkSword est une chaîne d'exploitation iOS complète distribuée via des attaques de point d'eau ciblant des sites légitimes compromis. Elle s'exécute entièrement en JavaScript, contourne les protections binaires et dépose des backdoors JavaScript qui exfiltrent des données sensibles.

Mar 20, 2026

Compromission de la chaîne d'approvisionnement du SDK Web AppsFlyer - crypto-stealer polymorphique

Un détournement DNS au niveau du registrar pour appsflyer.com a servi un payload de vol de cryptomonnaies polymorphique via le SDK Web AppsFlyer, affectant des milliers de sites et certains environnements serveur Node.js. Cet article résume la télémétrie, les indicateurs forensiques, les IOCs, les conseils de détection et les étapes de remédiation.

Mar 18, 2026

Scanner OpenClaw pour les scripts tiers

Un scanner gratuit et open source qui inventorie les scripts tiers, détecte le fingerprinting, audite les en-têtes de sécurité et les cookies, et signale les risques PCI DSS sur les pages de paiement. Lancez un audit rapide de 30 secondes pour découvrir quel code s'exécute dans le navigateur de vos utilisateurs.

Mar 18, 2026

À l'intérieur de Coruna - Exploit iOS par script web

Votre site web aurait pu être utilisé pour distribuer ce kit d'exploit iOS à votre insu. Une analyse technique complète de Coruna : cinq chaînes d'exploit, 23 CVE, et l'infrastructure de diffusion qui fait de chaque site web un vecteur d'attaque potentiel.

Mar 8, 2026

"Microsoft Clairty" n'est pas Microsoft Clarity : désobfuscation d'un script de fraude publicitaire par typosquatting

cside a observé une nouvelle injection malveillante côté client provenant d'une extension de navigateur malveillante qui se fait passer pour Microsoft Clarity et écrase les jetons de référence afin de rediriger les revenus d'affiliation vers un acteur malveillant.

Mar 3, 2026

Bonnes pratiques pour sécuriser les scripts tiers sur les pages web

Les scripts tiers peuvent exposer des données sensibles dans le navigateur de vos utilisateurs. Découvrez les bonnes pratiques pour sécuriser le code côté client et réduire le risque de violation.

Jan 21, 2026

Meilleurs outils de sécurité côté client pour les applications Web

Les applications Web exploitent les scripts côté client. Une approche de surveillance multicouche est le meilleur moyen de détecter les activités suspectes sur ces scripts.

Jan 15, 2026

Comment détecter le trafic VPN sur un site web

Les lois américaines et britanniques sur la vérification de l'âge obligent les entreprises à empêcher les mineurs d'accéder à des contenus restreints, notamment via des contrôles contre les VPN.

Jan 14, 2026

Prédictions 2026 en sécurité web par le PDG de cside

2026 sera différent des années précédentes. Nous surveillerons : le phishing par deepfake, les recommandations de sécurité hallucinées par les LLM, et les attaquants pilotés par des agents IA.

Jan 8, 2026

Les différences entre les solutions de sécurité côté client

Lorsqu'un utilisateur visite un site, un serveur Web demande au navigateur de récupérer le contenu. Certains proviennent de serveurs gérés par le propriétaire du site Web, parfois de tiers. Les solutions de sécurité côté client visent à redonner le contrôle au propriétaire du site Web, car il est responsable des outils de son site.

Jan 6, 2026

La meilleure sécurité côté client pour le commerce électronique ?

Les sites de commerce électronique sont de gros consommateurs de balises de suivi côté client, ce qui crée un risque important d'exfiltration malveillante de données sensibles, mais également des balises légitimes collectant plus de données qu'il n'est nécessaire pour les vendre aux courtiers en données. La solution cside résout ces problèmes facilement.

Dec 26, 2025

La meilleure sécurité côté client pour les institutions financières ?

Les cibles des États-nations telles que les institutions financières doivent s’associer à des fournisseurs qui comprennent les limites et s’efforcent d’obtenir une couverture aussi complète que possible. Découvrez pourquoi beaucoup choisissent le modèle multicouche de cside.

Dec 24, 2025

L'attaque contre British Airways en 2018 - L'histoire complète

L'attaque contre British Airways en 2018 a touché 429 612 personnes. Découvrez pourquoi cside a racheté le domaine de l'attaquant pour en faire une ressource pédagogique sur la sécurité web moderne.

Dec 15, 2025

Comment cside a apporté l'IA à la sécurité côté client

En 2024, cside a lancé la première solution de sécurité côté client avec IA intégrée pour l'analyse de la sécurité JavaScript et l'automatisation de la conformité.

Dec 14, 2025

Réponse aux affirmations incorrectes de Reflectiz à propos de cside

Découvrez pourquoi les affirmations de Reflectiz basées sur un scanner à propos de cside sont incorrectes, et comment la protection client-side en temps réel de cside offre une protection plus profonde, une analyse forensique complète des charges utiles et la conformité PCI DSS 4.0.1.

Dec 8, 2025

Gestion de l'intégrité des scripts pour les marques e-commerce (SRI, scripts dynamiques)

Analyse approfondie de l'intégrité des scripts, de la Subresource Integrity et de la surveillance comportementale pour la conformité PCI DSS 6.4.3, 11.6.1, ISO 27001 et HIPAA.

Nov 26, 2025

L'incident Cloudflare : comment cside a minimisé l'impact pour ses clients

Le 18 novembre, Cloudflare a subi un incident qui a touché des milliers de clients. Ce billet explore comment nous avons limité l'impact sur nos propres clients.

Nov 21, 2025

En quoi les applications mobiles WebView sont dangereuses pour la banque

Les « applications » bancaires qui s'exécutent dans des environnements de navigateur exposent les identifiants sans que les équipes s'en rendent compte. Cet article explore des exemples d'attaques sur des applications mobiles WebView.

Nov 21, 2025

Architectures fail-open : l'importance d'être prêt pour les mauvais jours.

Nos clients nous posent régulièrement la question : « que se passe-t-il si cside tombe ? » ou « est-ce que ça va ajouter de la latence ? ». Voici comment notre architecture fail-open est conçue pour faire face aux mauvais jours.

Nov 14, 2025

Comment contourner les agents JavaScript, les CSP et les crawlers (tests de sécurité côté client)

La plupart des outils de conformité côté client peuvent être facilement contournés. Nous vous montrons comment tester les failles des CSP, crawlers et agents JS, ainsi que des alternatives plus sûres.

Oct 21, 2025

Qu'est-ce que la sécurité côté client ?

La sécurité côté client surveille le JavaScript, les scripts tiers et les pixels qui s'exécutent dans les navigateurs de vos utilisateurs. Elle détecte des menaces comme le skimming Magecart, le formjacking et l'exfiltration de données au moment où ils s'exécutent dans l'environnement d'exécution du navigateur.

Oct 2, 2025

La documentation Mockito détournée

Certaines attaques sont d'une simplicité déconcertante. Mockito, un package open source populaire, contenait un lien malveillant dans sa documentation Github.

Sep 30, 2025

Risques de sécurité du vibe coding : expositions côté client dans les plateformes IA (Lovable, Copilot, Cursor et autres)

Comprendre les vulnérabilités courantes dans le code généré par des plateformes IA comme Lovable, Copilot, Cursor et Replit. Découvrez comment les corriger avant de mettre en production.

Sep 30, 2025

Ce que les QSA doivent rechercher lors de l'évaluation de PCI 6.4.3 et 11.6.1

Nous avons préparé une liste de contrôle synthétique, les signaux d'alerte à surveiller, et les différences de conformité entre CSP, crawlers et scripts côté client.

Sep 9, 2025

Rapport sur les attaques côté client T2 2025

Les recherches de cside ont mis au jour plus de 72 000 sites web compromis, révélant comment les attaquants s'appuient sur des mécanismes de diffusion basés sur JavaScript, des vulnérabilités dans la chaîne d'approvisionnement tierce, et des tactiques d'ingénierie sociale trompeuses via le navigateur, telles que les fausses mises à jour de navigateur.

Jul 30, 2025

L'angle mort des données personnelles dans la sécurité web

Pourtant, les données personnelles transitent par le frontend, là où les contrôles sont plus faibles et la visibilité souvent limitée.

Jul 30, 2025

Le système britannique de vérification de l'âge sur Internet expliqué pour la cybersécurité

L'objectif du système britannique de vérification de l'âge sur Internet est de protéger les enfants qui naviguent sur le web. Mais ces contrôles introduisent de nouveaux risques en matière de cybersécurité et de vie privée.

Jul 29, 2025

cside au PCI SSC 2025 North America Community Meeting

Nous serons présents au PCI SSC 2025 North America Community Meeting, du 16 au 18 septembre.

Jul 24, 2025

Comment les extensions Chrome peuvent supprimer les en-têtes de sécurité

De nombreux navigateurs mettent à jour les extensions de manière automatique, sans approbation explicite ni opt-in. Cela signifie qu'une extension peut se comporter de façon radicalement différente du jour au lendemain, sans que vous en soyez informé.

Jul 21, 2025

Quelle est la technologie de pointe pour prévenir le skimming de carte de crédit ?

Le rapport semestriel sur les menaces du printemps 2025 de Visa identifie le skimming numérique comme l'une des « menaces les plus prolifiques et les plus constantes » de l'écosystème des paiements.

Jul 21, 2025

cside à BlackHat USA 2025

cside expose à BlackHat USA 2025.

Jul 9, 2025

Pourquoi les crawlers ne peuvent pas aider à la conformité PCI (seuls)

Les crawlers agissent comme un utilisateur mais ne sont clairement pas un véritable utilisateur humain. Si un script malveillant est injecté suite à une interaction utilisateur, le crawler ne verra pas le script malveillant à moins qu'il n'effectue cette interaction utilisateur

Jul 3, 2025

Conformité PCI 4.0.1 : Un webinaire guide pratique de mise en œuvre

Nous nous sommes associés à VikingCloud, le plus grand cabinet mondial de conformité PCI QSA et de sécurité, pour 2 webinaires vous donnant le contexte complet et les informations nécessaires pour mettre en œuvre PCI DSS 4.0.1. Avec un focus particulier sur les exigences 6.4.3 & 11.6.1.

Jun 26, 2025

Pourquoi nous nous appelons cside

Nous avons choisi ce nom en référence à la partie du web que personne d'autre ne protégeait : le côté client.

Jun 25, 2025

Bilan des attaques côté client – T1 2025

Les recherches de cside ont mis au jour près de 300 000 sites web compromis au cours du premier trimestre 2025.

Apr 30, 2025

VikingCloud approuve cside pour les exigences PCI DSS 6.4.3 et 11.6.1

cside s'est associé à VikingCloud pour réaliser une évaluation technique approfondie des solutions de sécurité que nous proposons dans le cadre du plan entreprise, sous le périmètre de la conformité PCI. Cette démarche offre une tranquillité d'esprit totale : avec une implémentation correcte de nos produits, les exigences 6.4.3 et 11.6.1 sont satisfaites.

Apr 24, 2025

Existe-t-il une méthode « gratuite » pour se conformer aux exigences PCI DSS 6.4.3 et 11.6.1 ?

La réponse courte : sans solution clé en main, vous devriez construire un outil de surveillance maison qui coûterait bien plus cher en salaires qu'une solution commerciale préconçue.

Apr 23, 2025

Avez-vous besoin de PCI SSF ou de PCI DSS ? Voici la différence

PCI SSF concerne le logiciel, et PCI DSS concerne tout le reste. Voyons ça en détail.

Apr 22, 2025

Peut-on utiliser Adyen pour la conformité PCI DSS ?

Oui, MAIS selon le type d'intégration, votre entreprise reste responsable d'assurer sa conformité à la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS).

Mar 21, 2025

Pouvez-vous utiliser PayPal (Braintree) pour PCI DSS ?

Oui, MAIS selon l'intégration, votre entreprise reste responsable d'assurer la conformité avec la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS).

Mar 21, 2025

Stripe est-il conforme PCI DSS ? Ce que les marchands doivent encore faire

Stripe détient la certification PCI Niveau 1. Les marchands restent responsables de la surveillance des scripts de la page de paiement selon §6.4.3 et §11.6.1.

Mar 21, 2025

Événement BSidesSF et RSAC

Quand cside expose, les afterparties sont en ville ! Organisées par nous, Socket, Arcjet et Incident ! Retrouvez notre stand à BSidesSF (suivez le laser), et le stand 2438 à RSAC. Inscrivez-vous pour le 30 avril Réservez une réunion Rejoignez-nous pour l'expérience de networking ultime en cybersécurité sur le Rooftop de notre investisseur Uncork Capital à San Francisco ! Organisés par cside, Socket, Arcjet et Incident, ces événements exclusifs rassemblent plus de 250 techniciens, professionnels de la cybersécurité et pa

Mar 13, 2025

Comment être une entreprise conforme PCI DSS SAQ A (6.4.3 et 11.6.1)

Une phrase suscite le débat. Parce que les sites chargent des scripts dynamiquement, un script provenant de n'importe quelle page peut persister jusqu'au paiement, en interférant potentiellement avec les transactions. Les scripts tiers, même sans lien direct ou chargés sur des pages antérieures à la page de paiement, peuvent introduire des vulnérabilités.

Mar 7, 2025

Attaque Bybit : 1,5 milliard de dollars volés via du JavaScript malveillant

Les attaquants ont injecté du JavaScript malveillant dans l'interface web utilisée par les employés de Bybit pour approuver les transactions. Ce code malveillant était dissimulé de telle sorte que tout semblait normal à l'écran — mais en coulisses, il modifiait des informations cruciales.

Feb 27, 2025

cside est désormais conforme SOC2

Nous sommes fiers d'annoncer que notre audit SOC2 type 2 a été validé avec le plus haut niveau d'approbation.

Feb 5, 2025

Démystifier les mises à jour de janvier 2025 du SAQ A PCI DSS

Une explication détaillée complète, un schéma et un guide sur les changements concernant PCI DSS 4.0.1 - 6.4.3 et 11.6.1

Feb 2, 2025

Le suivi d'affiliation et ses risques en matière de cybersécurité

Les acteurs malveillants exploitent souvent les pixels de suivi pour injecter des scripts nuisibles sur des sites web pourtant ordinaires.

Jan 20, 2025

Pourquoi la Content Security Policy ne fonctionne pas

La Content Security Policy (CSP) est une fonctionnalité de sécurité fournie par les navigateurs web qu'un propriétaire de site peut utiliser pour définir un ensemble de règles contrôlant les ressources (scripts, styles, images, etc.) pouvant être chargées et exécutées par le navigateur. C'est ce que l'on appelle le côté client, tout au bout de la chaîne d'approvisionnement web. Correctement configurée, elle aide à prévenir un large éventail d'attaques. Mais ces deux premiers mots font toute la différence. Elle peut aider à prévenir : le Cross-Site Scripting (XSS) en restreignant

Jan 7, 2025

Risques de sécurité et de conformité des places de marché publicitaires

Pour les entreprises qui monétisent via des modèles de places de marché publicitaires, les réseaux publicitaires tiers moins traditionnels, les plateformes d'analyse et les scripts marketing sont indispensables. Ils sont nécessaires pour générer des revenus en stimulant l'engagement et en suivant le comportement des utilisateurs.

Dec 23, 2024

Un nouveau danger des Progressive Web Apps que très peu connaissent

L'adoption croissante des PWA s'accompagne d'une augmentation des risques de sécurité côté client. Et l'industrie ? Elle en parle à peine.

Dec 20, 2024

L'attaque Polyfill[.]io - Bien plus qu'une simple attaque de redirection

La redirection n'était que ce qui a été attrapé. En contrôlant un seul script tiers sur un demi-million de sites, bien pire était possible. Voici pourquoi cela comptait.

Dec 6, 2024

Comment les extensions web peuvent nuire à votre site (INFIRC[.]com et INFIRD[.]com)

Les domaines infirc[.]com et infird[.]com ont récemment causé beaucoup d'agitation et mis en évidence les dangers des extensions web infectées ou malveillantes

Oct 18, 2024

Le piratage d'Internet Archive : Comment JavaScript s'inscrit dans le tableau

Internet Archive, également connu sous le nom de The Wayback Machine, a subi une violation de sécurité hier. Ce n'était pas la première fois qu'il était visé

Oct 18, 2024

Les plus grandes attaques Magecart de l'histoire (jusqu'à présent)

Les attaques Magecart injectent des skimmers JavaScript dans les pages de paiement pour voler des données de carte. Grands incidents Magecart et prévention.

Oct 17, 2024

Nouvelles TTPs pour le vol de données personnelles et financières sur les sites Magento

Chez cside, nous surveillons activement les attaques sur la chaîne d'approvisionnement côté client, en nous concentrant sur l'évolution des tactiques, techniques et procédures (TTPs) utilisées par les acteurs malveillants. L'une des attaques les plus fréquemment observées ces derniers mois cible les sites eCommerce construits sur le framework Magento. Nous suivons notamment de près l'attaque Cosmic Sting (CVE-2024-34102), largement documentée, notamment par Sansec (https://sansec.io/research/cosmicsting). Observation récente de TTP

Oct 14, 2024

Pourquoi les sites web ont-ils besoin de scripts tiers ?

Lors du développement d'un site web, vous inclurez souvent des bibliothèques pour accélérer le processus de développement et éviter de réinventer la roue. Cependant

Oct 10, 2024

cside rejoint le PCI Security Standards Council en tant qu'Organisation Participante Associée

Nous sommes fiers d'annoncer que nous avons rejoint le Payment Card Industry Security Standards Council (PCI SSC) en tant qu'Organisation Participante Associée. Le PCI SSC pilote un effort mondial et intersectoriel visant à renforcer la sécurité des paiements en établissant des normes de sécurité des données flexibles et portées par l'industrie. Grâce à la collaboration avec d'autres acteurs du secteur, la mission du Conseil est de protéger les données de paiement contre les menaces émergentes et de répondre aux besoins évolutifs de l'écosystème des paiements. En tant qu'Organisation Participante Associée

Oct 7, 2024

Carlsberg victime d'une attaque malware Magento « CosmicSting »

Le terme « Magecart » désigne les attaques ciblant la plateforme Magento. Récemment, une nouvelle campagne d'envergure a de nouveau visé des sites Magento. Parmi eux, le site de Carlsberg faisait partie des victimes. Le schéma de ces attaques est presque toujours identique. Une seule ligne de JavaScript charge du contenu depuis un site distant — autrement dit, un script tiers. Ce code est ensuite fortement obfusqué pour retarder encore davantage sa détection. Dans ce cas précis, le processus de paiement a été discrètement modifié. Une fausse méthode de paiement

Oct 4, 2024

cside rejoint le W3C

Nous sommes incroyablement fiers d'annoncer que nous avons rejoint le groupe de travail sur la sécurité des applications web du W3C. La mission de ce groupe de travail est de développer des mécanismes et des bonnes pratiques pour améliorer la sécurité des applications web. Toute notre équipe est impliquée dans la cybersécurité depuis des années. À travers cside, nous cherchons désormais à sensibiliser et à établir des standards plus élevés en matière de sécurité côté client. En unissant nos forces, nous nous rapprochons un peu plus de la réalisation de nos deux objectifs. Nous souhaitons remercier publiquement le W3C de nous avoir invités à rejoindre leur groupe de travail, composé de divers experts, entreprises et institutions de recherche dédiés à l'amélioration de la sécurité web dans son ensemble.

Oct 4, 2024

Les flux de menaces n'ont pas détecté une attaque pendant plus de 2 ans

Sur ce site, nous pouvons constater que l'attaque est active depuis août 2022. Nous avons notifié ce site, ainsi que d'autres sites, de cette attaque.

Oct 2, 2024

Pourquoi les développeurs obfusquent-ils JavaScript ?

En tant qu'entreprise spécialisée dans la sécurité côté client pour la protection de JavaScript, nous rencontrons de nombreux scripts obfusqués. Lorsque vous utilisez notre outil, vous pouvez voir la version déobfusquée des scripts pour comprendre ce qu'ils font. La déobfuscation existe depuis un certain temps, mais pourquoi le code est-il obfusqué en premier lieu ? L'obfuscation JavaScript est apparue pour protéger le code source des applications web afin qu'il ne soit pas facilement compris, copié ou exploité par des utilisateurs non autorisés. L'obfuscation en tant que concept est antérieure à JavaScript et e

Oct 1, 2024

Temps d'arrêt non signalé et problèmes de sécurité de ButterCMS

ButterCMS est un outil populaire utilisé pour gérer le contenu des blogs. Plus tôt cette semaine, nous avons remarqué un incident de sécurité potentiellement grave qui a

Sep 23, 2024

cside lève un tour de table seed de 6 millions de dollars

Nous sommes incroyablement fiers d'annoncer notre tour de table seed de 6 millions de dollars, six mois seulement après avoir levé notre pré-seed de 1,7 million de dollars. Mené par Uncork Capital en tant que lead, avec la participation de Mantis et PrimeSet. Nous accueillons également à nouveau Scribble VC et Roar Ventures qui nous ont soutenus lors du pré-seed. En parallèle de cette annonce, nous avons ouvert notre offre gratuite à tous. Vous pouvez désormais vous inscrire et commencer à utiliser cside pour surveiller, sécuriser et optimiser les scripts tiers. Nous avons fondé cside pour mettre la sécurité côté client sur la carte. Pour t

Sep 16, 2024

cside sélectionné pour le TechCrunch Disrupt Startup Battlefield 2024

Nous sommes incroyablement fiers d'annoncer que nous avons été sélectionnés pour le TechCrunch Disrupt Startup Battlefield 2024. Les participants au Startup Battlefield de cette année couvrent l'intelligence artificielle (IA), le logiciel en tant que service (SaaS), la fintech, la sécurité, le développement durable, l'exploration spatiale, et bien plus encore. Sur des milliers de startups, seulement 200 sont retenues, et nous sommes absolument ravis de faire partie de ce groupe. Nous avons hâte de présenter notre produit au monde, du 28 au 30 octobre au Moscone West à San F

Sep 5, 2024

Comment accélérer JavaScript

Les taux de conversion sont corrélés aux vitesses de chargement des sites. Mais les sites e-commerce ont une tonne de JavaScript qui ralentit les choses... la solution est ici.

Sep 2, 2024

Qu'est-ce que les skimmers numériques ?

Récemment, nous avons appris l'existence d'une nouvelle campagne de cyberattaque majeure ciblant des centaines de boutiques en ligne, exploitant des vulnérabilités dans des scripts et plugins tiers. C'est un exemple parfait de « skimmer numérique ». Les skimmers numériques sont des fragments de code injectés de manière malveillante dans des sites web légitimes. Ils ciblent les informations personnelles et les données de carte bancaire. Ce problème est en pleine expansion et constitue l'une des raisons pour lesquelles cside a été créé. Notre proxy est capable de détecter ce code malveillant et d'empêcher qu'il n'affecte

Aug 29, 2024

Pourquoi les navigateurs deviennent de plus en plus dangereux

Des technologies comme WebAssembly (WASM), WebGPU et IndexedDB ont transformé ce que les navigateurs peuvent accomplir. Cette évolution a élargi les fonc

Aug 23, 2024

Le véritable coût d'une cyberattaque

Calculer le véritable coût d'une cyberattaque est difficile. Aucune n'est identique. Pourtant, nous rapportons cela avec autant de détails que possible pour représenter fidèlement l'image complète de ce qui se passe lorsque cela arrive à votre entreprise.

Aug 12, 2024

Tuaw est-il une arnaque en préparation ?

Lorsque nous avons vu la nouvelle vidéo Fireship hier, nous avons immédiatement pensé à la récente attaque Polyfill. Notre premier article a été repris

Aug 2, 2024

L'attaque event-stream contre Copay illustre les risques liés aux dépendances

L'écosystème JavaScript a subi un choc majeur en novembre 2018 avec une attaque sophistiquée visant Copay, un fournisseur populaire de portefeuilles de cryptomonnaies. Connue sous le nom d'attaque event-stream, cet incident a mis en lumière les vulnérabilités critiques associées à l'utilisation de dépendances tierces dans le développement logiciel. Copay est désormais connu sous le nom de Bitpay Wallet. Comprendre l'attaque Event-stream, un package npm populaire, était largement utilisé par de nombreux projets pour gérer efficacement les flux de données

Jul 29, 2024

L'attaque informatique contre Segway expliquée

En janvier 2022, la boutique en ligne de Segway a subi une attaque sur la chaîne d'approvisionnement web — souvent appelée attaque Magecart. Dans ce type d'attaque, du code JavaScript malveillant est injecté et se charge côté client, sous forme de scripts tiers. De nombreux outils courants fonctionnent comme des scripts tiers : analytics, captchas, et bien d'autres. Mais ce vecteur peut aussi être exploité à des fins malveillantes, comme ce fut le cas ici. Dans cette attaque contre Segway, leur boutique est hébergée sur Magento. Les attaquants ont ciblé des vulnérabilités dans le CMS lui-même ou dans l'un des plugins installés sur le site Segway.

Jul 25, 2024

Ne déployez pas vos scripts sur l'ensemble du site

Les scripts tiers sont souvent déployés sur l'ensemble d'un site, généralement injectés dans les balises head des frameworks web comme Next.js via le fichier '_document.js'. Cette implémentation généralisée, bien que pratique pour les développeurs et souvent recommandée par les guides d'intégration, signifie que ces scripts s'exécutent sur la totalité du site. C'est plus simple à mettre en place, mais cela introduit aussi des risques de sécurité et des problèmes de performance souvent négligés. La récente fuite de données de Kaiser Permanente illustre les dangers d'une gestion insuffisante

Jul 22, 2024

Qu'est-ce qu'un vecteur d'attaque et quels sont les vecteurs cachés

Un vecteur d'attaque en cybersécurité est la méthode qu'un attaquant utilise pour exploiter des failles de sécurité. Certains sont plus obscurs que d'autres. Celui sur lequel nous nous concentrons est le JavaScript tiers. Ces scripts sont installés par le propriétaire du site, mais exécutés dans les navigateurs des visiteurs, ce qui les place dans une position unique. Si quelque chose de malveillant se produit dans ces scripts, aucune des deux parties n'en est consciente. Le visiteur est affecté, et le propriétaire du site en devient responsable. Nous l'avons vu trop souvent, par exemple lors de la

Jul 15, 2024

Comment les domaines expirés mènent à des cyberattaques

Comment les domaines expirés mènent à des attaques de cybersécurité En 2018, British Airways a été attaquée par l'exploitation d'un package JavaScript tiers

Jul 8, 2024

L'attaque Polyfill expliquée

Un fichier JavaScript altéré injecté par le domaine polyfill[.]io a redirigé un pourcentage d'utilisateurs vers des sites pour adultes et de paris en fonction de leur User-Agent. Un utilisateur japonais de X, « piyokango », a probablement été le premier à signaler cette attaque le 24 juin.

Jul 3, 2024

Qu'est-ce que la chaîne d'approvisionnement du navigateur ?

cside est un produit de cybersécurité qui évolue dans l'espace de la chaîne d'approvisionnement du navigateur. Nous et les autres fournisseurs opérant dans ce domaine aimons parler de cette chaîne d'approvisionnement. Mais qu'entendons-nous exactement par là ? La chaîne d'approvisionnement du navigateur est la combinaison de composants et de processus qui s'assemblent pour afficher des pages web, exécuter des scripts et assurer un bon fonctionnement. Cette chaîne comprend tout, depuis la requête initiale d'une page web jusqu'au rendu final de cette page dans le navigateur de l'utilisateur. Ainsi que les comportements dynamiques qui se produisent après le rendu du site.

Jul 2, 2024

Plus de 490 000 sites web ciblés dans une attaque de la chaîne d'approvisionnement web

Le domaine cdn.polyfill[.]io est utilisé dans une attaque de la chaîne d'approvisionnement web. Nous avons été les premiers à en signaler l'ampleur réelle : plus de 490 000 sites touchés.

Jun 25, 2024

L'attaque de la chaîne d'approvisionnement BrowseAloud : Une étude de cas sur le cryptojacking

Cette attaque a touché plus de 4 000 sites web, y compris des sites gouvernementaux et éducatifs, exposant des milliers d'utilisateurs au cryptojacking à leur insu.

Jun 10, 2024

Le risque de la chaîne d'approvisionnement ne s'arrête pas à NPM

En ne vérifiant que NPM (ou un autre registre), vous n'êtes pas protégé contre les attaques via des scripts tiers.

May 30, 2024

Violation de données Ticketmaster : le retour. Ce que vous devez savoir

Le 29 mai 2024, des informations ont fait état d'une violation de données présumée impliquant Ticketmaster, une importante société de vente et de distribution de billets. Ticketmaster a confirmé une activité non autorisée au sein d'un environnement de base de données cloud tiers, qui aurait exposé les informations personnelles de plus de 500 millions de clients. Cette violation inclut des données sensibles telles que des adresses e-mail, des numéros de téléphone, des adresses postales et des informations financières. ShinyHunters, un attaquant notoire, a republié les détails de la violation. Selon les rapports,

May 30, 2024

Fuite de données Kaiser Permanente : un cas de mauvaise communication et de divulgation insuffisante

Le 29 avril, le géant de la santé Kaiser Permanente a divulgué une fuite de données touchant 13,4 millions de membres actuels et anciens de son assurance. L'incident trouve son origine dans une gestion inadéquate de scripts tiers. L'incident Kaiser Permanente utilisait des codes de suivi pour surveiller la façon dont ses membres naviguaient sur son site web et ses applications mobiles. Certaines de ces pages contenaient des données de santé sensibles, ce qui a conduit les scripts tiers à transmettre par inadvertance des informations à des fournisseurs tiers qui n'étaient pas

May 25, 2024

Les Flux de Menaces à l'Ère de l'IA

L'idée derrière les flux de menaces est valable. Mais, nous dirions qu'elle a fait son temps. Et avec les technologies d'aujourd'hui, il existe de meilleures options. Les flux de menaces sont (souvent) une liste d'informations de sécurité issues de la communauté. Lorsqu'une personne détecte une vulnérabilité, elle publie manuellement une notice dans le flux. Celle-ci est ensuite reprise et mise en avant dans le flux, où les professionnels de la sécurité au sein de leurs entreprises respectives la lisent et vérifient leurs propres systèmes pour voir s'ils sont exposés à un danger potentiel.

Apr 28, 2024

La vulnérabilité cdnjs de 2021 en détail

Vérifier que vos sources de scripts tiers sont fiables est important. Mais cela seul peut ne pas suffire. C'est ce que le monde a appris en 2021, lorsqu'une vulnérabilité majeure dans le cdnjs de Cloudflare a été signalée. Voici le récapitulatif de ce qui s'est passé et comment. Cdnjs est l'un des réseaux de diffusion de contenu (CDN) JavaScript les plus utilisés aujourd'hui. Plus de 12 % de tous les sites web sur internet injectent au moins un script via cdnjs. Un chercheur utilisant le pseudonyme 'RyotaK' a partagé une vulnérabilité de chaîne d'approvisionnement dans cdnjs, permettant à n'importe qui sur internet d'apporter des modifications aux bibliothèques cdnjs en suivant une séquence d'étapes spécifiques.

Apr 28, 2024

Le risque de ne protéger que vos portails de paiement contre les attaques JavaScript tierces

PCI DSS 4.0 est là. D'ici mars 2025, il impose que les portails de paiement disposent d'un moyen d'autoriser chaque script sur les pages de paiement. Les sites web doivent tenir un inventaire de tous les scripts (sur ces portails de paiement au moins) et garantir leur intégrité. Vous devez désormais détecter et répondre aux modifications non autorisées sur les pages de paiement, y compris les changements d'en-têtes HTTP et de contenu de page. Les organisations doivent vérifier ces configurations au moins une fois tous les sept jours ou selon leur analyse de risque.

Apr 15, 2024

Guide complet et étapes de PCI DSS 4.0.1

Guide complet et étapes de PCI DSS 4.0 La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est un ensemble de directives garantissant la sécurité

Mar 4, 2024
Réserver une démonstration