Blog

Blog Attacks

Bilan des attaques côté client – T1 2025

Les recherches de cside ont mis au jour près de 300 000 sites web compromis au cours du premier trimestre 2025.

Apr 30, 2025 • 11 min read

Simon Wijckmans Founder & CEO

Rédigé par : l'équipe de recherche sur les menaces de cside

Résumé exécutif

Le T1 2025 a été marqué par une nette escalade des attaques côté client ciblant des sites web dans de nombreux secteurs, avec une attention particulière portée aux plateformes propulsées par WordPress. Les recherches de cside ont mis au jour près de 300 000 sites web compromis, soulignant la dépendance croissante des attaquants aux mécanismes de diffusion basés sur JavaScript, aux vulnérabilités de la chaîne d'approvisionnement tierce et aux tactiques d'ingénierie sociale trompeuses telles que les fausses mises à jour de navigateur.

À l'intention des RSSI, des responsables du risque numérique et des parties prenantes en matière de sécurité, ce rapport présente les campagnes les plus critiques détectées ce trimestre, en associant détail technique et analyse stratégique pour soutenir une prise de décision proactive.

Point clé pour les dirigeants : Les cybermenaces modernes exploitent désormais les interactions côté navigateur et la confiance des utilisateurs envers les CMS courants. Se défendre contre elles exige une visibilité sur les comportements à l'exécution, une gouvernance rigoureuse des scripts et une intelligence des menaces coordonnée. Par ailleurs, les attaques côté client ciblant les plateformes de cryptomonnaies et les environnements de paiement présentent des risques disproportionnés, malgré un volume total d'incidents plus faible.

Principales campagnes d'attaques côté client

1. Détournements de pages entières redirigeant vers des sites de jeux d'argent chinois

Détecté : janvier 2025
Sites impactés : 150 000+
Cause racine : JavaScript injecté via un plugin détourné ou un CDN d'assets.
Infrastructure d'attaque : Des domaines tels que zuizhongyj[.]com et ses sous-domaines étaient responsables de l'injection d'iframes prenant le contrôle de l'intégralité de la fenêtre d'affichage.
Caractéristiques notables : Redirection conditionnelle selon la région et le navigateur
Obfuscation des scripts et construction dynamique des URL
Fort ciblage mobile avec des redirections orientées Android

Risque stratégique : Perte de confiance significative et pénalités SEO ; plusieurs sites mis sur liste noire par Google.

https://cside.com/blog/over-150k-websites-hit-by-full-page-hijack-linking-to-chinese-gambling-sites

2. Compromission de la chaîne d'approvisionnement JavaScript (4 portes dérobées intégrées)

Détecté : janvier 2025
Sites impactés : 5 000+
Origine du payload : cdn.csyndication[.]com (anciennement un fournisseur d'hébergement d'assets de confiance).
Actions malveillantes intégrées : Installation de plugin pour un accès persistant
Infection de wp-config.php
Injection de clé SSH via des tâches planifiées
Communication en reverse shell vers gsocket[.]io

Objectifs de l'adversaire : Maintenir un contrôle à long terme, collecter des identifiants et pivoter latéralement dans des environnements d'hébergement mutualisé.

https://cside.com/blog/thousands-of-websites-hit-by-four-backdoors-in-3rd-party-javascript-attack

3. Arnaque aux jeux d'argent chinois Kaiyun – Variante de campagne

Détecté : février 2025
Sites impactés : 35 000+
Tactiques : Imitation de publicités de jeux légitimes via des superpositions plein écran et utilisation de variantes linguistiques géociblées.
Observations clés : Réutilisation de domaines : mlbetjs[.]com, zuizhongjs[.]com
Profilage par IP et par navigateur pour échapper à la détection

Résultat : Confusion de marque et détournement de conversions pour les sites commerciaux affectés.

https://cside.com/blog/over-35-000-websites-targeted-in-full-page-hijack-linking-to-a-chinese-language-gambling-scam

4. Campagne de fausses mises à jour de navigateur avec malware multiplateforme

Détecté : mars 2025
Sites impactés : 10 000+
Mécanisme : JavaScript chargé via iframe affichant une fausse fenêtre de mise à jour pour Chrome/Firefox.
Payloads délivrés : AMOS Stealer (macOS) : Capture du trousseau iCloud, des navigateurs et des fichiers
SocGholish (Windows) : Utilisation de WMI et PowerShell pour la persistance

Risque de conformité : Les sites utilisés pour la distribution peuvent être exposés à des obligations réglementaires (RGPD, CCPA).

https://cside.com/blog/10-000-wordpress-websites-found-delivering-macos-and-microsoft-malware

5. Empoisonnement SEO ScriptAPI sur des sites académiques et gouvernementaux

Détecté : janvier 2025
Sites impactés : ~1 000
Profil des cibles : Domaines .edu et .gov utilisant des bundles JS obsolètes
Comportement de l'attaque : Injections DOM masquées pour la construction de liens SEO ; redirections dissimulées vers des contenus de jeux d'argent et pour adultes
Impact métier : Déclassement algorithmique dans les SERP
Exploitation de la confiance accordée aux domaines académiques et gouvernementaux pour l'empoisonnement de backlinks

https://cside.com/blog/government-and-university-websites-targeted-in-scriptapi-dev-client-side-attack

6. Campagne WP3.XYZ – Création automatisée de portes dérobées WordPress

Détecté : janvier 2025
Sites impactés : 5 000+
Vecteur initial : Script JS provenant de wp3[.]xyz inclus dans des thèmes/plugins compromis
Constats clés : Création silencieuse d'un compte wpx_admin
Déploiement de plugin pour modifier les flux de connexion
Exfiltration d'identifiants et de jetons

Remédiation : Nécessite la rotation des identifiants administrateur, le nettoyage des malwares et la vérification des plugins

https://cside.com/blog/over-5k-wordpress-sites-caught-in-wp3xyz-malware-attack

Recommandations stratégiques pour les dirigeants et les RSSI

Gouvernance du risque côté client : Imposer des revues avant déploiement et une surveillance après déploiement pour tous les assets JavaScript tiers.
Capacités de détection à l'exécution : Investir dans la surveillance comportementale des pages web pour détecter les menaces telles que l'iframing, le vol d'identifiants ou les chaînes de redirection.
Le CMS web comme cible de haute valeur : WordPress, malgré sa large adoption, requiert une attention de niveau entreprise avec des correctifs automatisés et une vérification des plugins.
Zéro confiance pour la diffusion de contenu : Appliquer les principes du Zero Trust aux scripts JS. Partir du principe qu'une compromission est possible et journaliser chaque interaction.
Playbooks de réponse et simulations : Créer des exercices sur table pour les attaques de chaîne d'approvisionnement, les injections côté client et la compromission d'identifiants, basés sur des scénarios réels.

Vue d'ensemble des indicateurs clés

Indicateur	Résultat T1 2025
Total des sites web compromis	Près de 300 000
Nouvelles techniques d'attaque côté client observées	5 (détournement par iframe, empoisonnement SEO, malware multiplateforme, etc.)
Compromissions majeures de la chaîne d'approvisionnement	2
CMS principalement ciblé	WordPress
Secteurs les plus touchés	E-commerce, Médias, Gouvernement, Enseignement supérieur
Exposition réglementaire	Risques de non-conformité RGPD, CCPA
Risques de conformité mis en évidence	PCI-DSS, RGPD, CCPA
Ciblage du secteur crypto	Faible volume, impact financier élevé

Nombre de sites web impactés par type d'attaque

Tendances stratégiques observées au T1 2025

Au cours du T1 2025, plusieurs tendances stratégiques importantes ont émergé dans l'activité des attaques côté client :

1. Montée en puissance des menaces multiplateformes

Les attaques ne ciblent plus uniquement les utilisateurs Windows. Les campagnes de malware (ex. : AMOS Stealer) se sont étendues agressivement aux écosystèmes macOS, signalant une évolution vers un ciblage multiplateforme.

2. Exploitation des chaînes d'approvisionnement de confiance

La compromission de cdn.csyndication[.]com démontre que les attaquants ciblent de plus en plus les fournisseurs tiers réputés pour maximiser leur impact à grande échelle.
Les attaques de chaîne d'approvisionnement s'étendent désormais au-delà des logiciels pour toucher les infrastructures de diffusion d'assets (JavaScript/CDN).

3. Sophistication accrue des techniques d'évasion

Utilisation généralisée de : Géofiltrage par IP
Fingerprinting de navigateur
Priorisation mobile pour contourner les détections automatisées et accroître la précision du ciblage des utilisateurs.

4. Prolifération de l'empoisonnement SEO

Les attaques exploitent de plus en plus les domaines à haute autorité (ex. : .edu, .gov) pour l'empoisonnement des moteurs de recherche, visant une monétisation indirecte plutôt qu'une exploitation directe.

5. WordPress reste la surface d'attaque n°1

Malgré des années de sensibilisation, les plugins/thèmes WordPress non corrigés continuent d'être le principal point d'entrée pour les compromissions à grande échelle.

Impact sur la conformité et la réglementation

Les compromissions côté client, en particulier celles qui diffusent des malwares ou détournent des informations personnelles, engendrent des risques de conformité sérieux.

1. Règlement général sur la protection des données (RGPD)

Les redirections chargées de malwares ou les sites web compromis peuvent être interprétés comme une violation des obligations de sécurité des données au titre de l'article 32 du RGPD.
Amendes potentielles pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial, selon le montant le plus élevé.

2. Risque PCI-DSS : compromissions des paiements côté client

Les attaques de skimming côté client telles que Magecart et le formjacking constituent des violations directes des exigences PCI-DSS v4.0. Les organisations traitant des données de titulaires de cartes doivent sécuriser les scripts côté client pour prévenir toute interception non autorisée. Une violation de cet environnement pourrait entraîner :

Une divulgation obligatoire selon les directives PCI
Des amendes importantes
Des dommages à la marque et à la confiance des clients

Compte tenu de la prévalence des attaques basées sur JavaScript, sécuriser l'environnement côté navigateur est désormais indispensable pour la conformité PCI.

3. California Consumer Privacy Act (CCPA)

Les sites web diffusant involontairement des malwares ou du phishing peuvent faire face à des actions en justice privées et à des sanctions réglementaires au titre du CCPA.

4. Réputation de marque et exposition juridique

Les organisations qui ne sécurisent pas leurs assets côté client s'exposent à : Des poursuites judiciaires de la part des clients
Une perte de réputation
Un déréférencement des plateformes publicitaires et des moteurs de recherche (Google, Microsoft)

Prévisions des risques pour le T2 2025

Sur la base des tendances d'attaques observées au T1, cside anticipe les développements suivants pour le T2 :

Tendance anticipée	Probabilité	Description
Essor du phishing côté client assisté par l'IA	Élevée	Les attaquants utiliseront probablement l'IA pour concevoir des fenêtres de fausses mises à jour et de fausses pages de connexion dynamiques.
Extension aux chaînes d'approvisionnement des applications mobiles	Moyenne	Des attaques similaires sur la chaîne d'approvisionnement pourraient commencer à cibler les SDK d'applications et les bibliothèques orientées mobile.
Croissance des campagnes d'empoisonnement SEO	Élevée	L'exploitation des sites académiques et gouvernementaux à des fins de manipulation SEO devrait se poursuivre.
Ciblage des CDN et des chaînes d'approvisionnement de plugins	Élevée	Les attaquants continueront à compromettre les hébergeurs d'assets populaires et les plugins WordPress.
Émergence des attaques JavaScript de cryptominage	Moyenne	Cette tendance dormante pourrait ressurgir au T2 en ciblant les sessions de navigation non surveillées.
Campagnes ciblées de vidage de portefeuilles crypto	Moyenne	Les attaquants prioriseront les cibles crypto à haute valeur malgré un volume global faible. Les pertes par incident pourraient être catastrophiques.

Recommandations stratégiques pour les dirigeants et les RSSI

Les organisations doivent évoluer au-delà des défenses périmètriques traditionnelles vers une surveillance de sécurité du navigateur en temps réel. Voici les recommandations concrètes de cside :

1. Gouvernance du risque côté client

Établir des politiques formelles pour la revue avant déploiement et la surveillance continue de tous les assets JavaScript tiers.
Maintenir un inventaire des scripts approuvés avec gestion des versions et contrôles d'intégrité.

2. Capacités de détection à l'exécution

Mettre en place une surveillance comportementale de l'activité des sites web en direct : Détecter les injections d'iframes
Surveiller les événements de manipulation du DOM
Signaler les connexions sortantes non autorisées

Les solutions doivent alerter sur les comportements suspects avant que les utilisateurs ne soient impactés.

3. Zéro confiance pour les contenus tiers

Traiter par défaut tout contenu externe comme non fiable : Appliquer des en-têtes CSP (Content Security Policy) pour restreindre le chargement d'assets non approuvés.
Utiliser la Subresource Integrity (SRI) pour vérifier l'intégrité des scripts.

4. Renforcement de la posture de sécurité WordPress

Exiger l'application automatique des correctifs pour tous les plugins et les mises à jour du cœur WordPress.
Imposer l'utilisation exclusive de plugins et de thèmes vérifiés et de haute qualité.
Surveiller les créations de comptes administrateur pour détecter toute anomalie.

5. Préparer et tester les playbooks de réponse aux incidents

Mener des exercices sur table réguliers axés sur : La compromission de scripts côté client
Les scénarios de violation de la chaîne d'approvisionnement
Le nettoyage après empoisonnement SEO

Inclure des workflows de communication pour une divulgation rapide aux autorités de régulation si nécessaire (RGPD, CCPA).

Conclusion

Le paysage des menaces du début 2025 reflète un changement de paradigme : les attaquants n'ont plus besoin de compromettre l'infrastructure. Il leur suffit de compromettre un script. Le front-end est le nouveau champ de bataille. Les organisations doivent aller au-delà des défenses côté serveur et adopter des stratégies de sécurité côté client proactives et en temps réel. Les défenseurs doivent reconnaître que même les menaces à faible fréquence, telles que les compromissions d'actifs crypto et le skimming de cartes, ont le potentiel d'un impact disproportionné. Les stratégies de défense doivent prioriser à la fois les scénarios d'attaques volumétriques et les scénarios à haute valeur et faible fréquence.

cside continue de surveiller et de publier les menaces émergentes pour renforcer les défenseurs et protéger la confiance numérique.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Réserver une démonstration

Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les attaques de scripts tiers contre les plateformes iGaming

Attaques de scripts tiers sur les plateformes iGaming en 2026 : la nouvelle surface d'attaque que les opérateurs négligent

JavaScript tiers est la principale surface d'attaque non surveillée en iGaming. Les sept classes d'attaque et pourquoi les outils les manquent.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les pixels non autorisés dans les jeux et la responsabilité RGPD

GDPR et jeux d'argent en ligne : pourquoi les pixels non autorisés créent un problème de double responsabilité

Les pixels non autorisés sur les sites de jeux d'argent créent une responsabilité GDPR et des suspensions de comptes publicitaires à la fois.

Conformité HIPAA et technologies de suivi web : le guide pour les établissements de santé

L'OCR du HHS a statué que les pixels de suivi et les scripts tiers sur les sites web de santé peuvent exposer des PHI. Ce que les entités couvertes doivent faire pour se conformer.

Comment Bloquer Bytespider (le Crawler IA de TikTok)

Bytespider explore votre site pour les systèmes IA de Bytedance. Découvrez comment le bloquer via robots.txt et plages d'IP, et les enjeux de souveraineté des données.

Couverture sombre du blog montrant trois méthodes d'attaque de scripts malveillants : redirections déclenchées depuis le navigateur, containers GTM fantômes avec tags malveillants et payloads mobiles géociblés

Comment les scripts malveillants détournent les parcours des joueurs de casino

Des scripts injectés redirigent les joueurs de casino avant le lobby. Les outils réseau ne les voient pas. Voici comment la détection doit fonctionner.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur la sécurité des scripts pour les opérateurs de jeux en APAC

Sécurité des scripts côté client pour les opérateurs de jeux d'argent en ligne en APAC

Comment les opérateurs de jeux d'argent APAC (Japon, Singapour, Philippines, Australie) surveillent les scripts tiers sur des sessions réelles.

Comment Bloquer Amazon Buy for Me sur Votre Site Web

Amazon Buy for Me fait ses achats sur votre site pour les membres Prime. Découvrez comment il collecte vos données de prix et de produits et comment la détection au niveau du navigateur vous redonne le contrôle.

Prévention des prises de contrôle de compte : le guide complet 2026

Le guide opérationnel ATO 2026 : un modèle de bout en bout pour défendre connexion, récupération, session et post-authentification contre les prises de contrôle pilotées par agents IA et bots.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les scripts affiliés compromis qui volent les revenus des casinos

Comment les scripts d'affiliation compromis volent les revenus des casinos en ligne

Les scripts d'affiliation compromis redirigent joueurs et volent commissions sur les pages de casino, silencieusement et à grande échelle.

Couverture sombre du blog montrant trois vecteurs d'attaque par extension de navigateur : redirections vers des clones de phishing, vol de token de session et réécriture des champs de paiement dans le DOM

Comment les extensions de navigateur attaquent les joueurs de casino en ligne : ce que les opérateurs peuvent faire

Les extensions de navigateur volent des tokens de session et détournent des paiements sur des sites de casino. Voici comment les détecter.