Blog

Scanner OpenClaw pour les scripts tiers

Un scanner gratuit et open source qui inventorie les scripts tiers, détecte le fingerprinting, audite les en-têtes de sécurité et les cookies, et signale les risques PCI DSS sur les pages de paiement. Lancez un audit rapide de 30 secondes pour découvrir quel code s'exécute dans le navigateur de vos utilisateurs.

Mar 18, 2026 • 7 min read

Simon Wijckmans Founder & CEO

Couverture du blog - Scanner de site gratuit pour les scripts tiers, le fingerprinting et les risques PCI

Nous avons créé un scanner de sécurité web gratuit pour OpenClaw

La plupart des propriétaires de sites web ignorent quel code s'exécute dans le navigateur de leurs utilisateurs. Les scripts tiers issus de plateformes d'analytics, de réseaux publicitaires, de widgets de chat et de processeurs de paiement s'exécutent tous avec un accès complet au DOM, mais les équipes de sécurité maintiennent rarement un inventaire de ce qui se charge réellement.

Nous avons créé le cside Site Scanner pour offrir un outil gratuit permettant de commencer à comprendre le problème. C'est un outil gratuit et open source qui audite les scripts tiers, les en-têtes de sécurité et l'exposition PCI DSS de n'importe quel site web en environ 30 secondes. Disponible sur ClawHub, il fonctionne avec n'importe quel agent IA et donne aux équipes de sécurité un point de départ clair : qu'est-ce qui tourne sur mon site en ce moment ?

Les résultats surprennent souvent.

Le problème : votre site web exécute du code que vous n'avez pas écrit

Un site e-commerce moyen charge entre 30 et 50 scripts tiers : analytics, publicités, widgets de chat, tag managers, processeurs de paiement et outils de session replay. Chacun dispose d'un accès complet à votre DOM. Ils peuvent lire les saisies de formulaires, poser des cookies, effectuer du fingerprinting d'appareils et exfiltrer des données.

La plupart des équipes de sécurité n'ont pas d'inventaire de ce qui s'exécute sur leurs pages. Elles examinent soigneusement leur propre code, mais les scripts tiers contournent entièrement ce processus. Une équipe marketing ajoute un nouveau pixel d'analytics via Google Tag Manager, et soudain un nouveau code s'exécute dans le navigateur de chaque utilisateur — du code qui n'a jamais touché le contrôle de version ni transité par le pipeline CI/CD.

Ce n'est pas un risque théorique. Les attaques Magecart ont compromis des données de paiement sur de grands sites de vente au détail en injectant du code malveillant via des scripts tiers compromis. British Airways a fait face à une lourde amende après que des attaquants ont modifié un script tiers pour dérober les coordonnées bancaires de centaines de milliers de clients.

Ce que fait le scanner

Pointez-le vers n'importe quelle URL et il audite selon six catégories.

Inventaire des scripts tiers

Le scanner identifie chaque script externe chargé sur la page, en les regroupant par domaine et en les classant par type : analytics, publicité, session replay, traitement des paiements, CDN, et plus encore. Vous obtenez une vue complète de qui dispose de code s'exécutant dans le navigateur de vos utilisateurs.

Détection du fingerprinting

Les scripts tiers effectuent du fingerprinting des utilisateurs plus souvent que les propriétaires de sites ne le réalisent. Le scanner vérifie la présence de :

Fingerprinting canvas
Requêtes WebGL
Analyse AudioContext
Énumération des polices
Collecte des propriétés navigator
Bibliothèques de fingerprinting connues comme FingerprintJS

Au titre du RGPD et du CCPA, le fingerprinting peut être considéré comme une collecte de données personnelles. Si un script tiers le pratique sur vos pages, vous en êtes responsable — même si vous n'en aviez pas connaissance.

Analyse des en-têtes de sécurité

Le scanner évalue les en-têtes de sécurité qui protègent contre les attaques courantes :

En-tête	Rôle
Content-Security-Policy (CSP)	Contrôle quels scripts peuvent s'exécuter
HTTP Strict Transport Security (HSTS)	Impose les connexions HTTPS
X-Frame-Options	Prévient les attaques de clickjacking
Permissions-Policy	Restreint l'accès aux fonctionnalités du navigateur
Subresource Integrity (SRI)	Vérifie l'intégrité des scripts tiers

Audit des cookies

Chaque cookie est analysé selon ses attributs de sécurité : origine first-party ou third-party, flag Secure, flag HttpOnly et paramètre SameSite. Des cookies mal configurés peuvent créer des vulnérabilités de détournement de session et de falsification de requête intersites.

Signalement des risques PCI DSS 4.0.1

L'exigence 6.4.3 de PCI DSS 4.0 impose aux organisations d'inventorier et de justifier tous les scripts présents sur les pages de paiement. Le scanner détecte les formulaires de paiement et identifie quels scripts tiers ont accès à leur DOM, facilitant ainsi la mise en conformité.

Traçage de la chaîne du tag manager

Le scanner effectue une comparaison avant/après : il inventorie les scripts au chargement de la page, puis vérifie à nouveau après l'exécution des tag managers. La différence révèle votre surface d'attaque non auditée — les scripts entrés via GTM ou d'autres tag managers sans revue de code.

Note de sécurité

L'ensemble des résultats est synthétisé en une note unique de A à F, pondérée sur huit facteurs. Cela fournit un chiffre unique pour communiquer le risque aux parties prenantes et suivre les améliorations dans le temps.

Pourquoi la détection du tag manager est importante

Google Tag Manager est présent sur environ 30 % du million de sites les plus visités. Il permet aux équipes marketing d'ajouter des scripts sans attendre un déploiement technique. Cette même flexibilité crée le plus grand angle mort dans de nombreux programmes de sécurité.

Les scripts chargés via GTM échappent à la revue de code. Ils n'apparaissent pas dans votre base de code. Ils ne transitent pas par votre pipeline CI/CD. Ils s'exécutent dans le navigateur de vos utilisateurs avec un accès complet au DOM, sans que personne dans l'équipe technique ne les ait approuvés.

Un conteneur GTM compromis ou un pixel marketing malveillant peut injecter du code malveillant sur l'ensemble de votre site. Le scanner rend cette surface d'attaque cachée visible.

Pourquoi la détection du fingerprinting est importante

Le fingerprinting d'appareil crée un identifiant unique pour les utilisateurs à partir des caractéristiques du navigateur, des propriétés matérielles et des polices installées. Contrairement aux cookies, les utilisateurs ne peuvent pas facilement supprimer les empreintes, et beaucoup ignorent qu'ils sont suivis de cette façon.

Les implications en matière de confidentialité sont sérieuses. Les régulateurs considèrent de plus en plus le fingerprinting comme une collecte de données personnelles nécessitant un consentement explicite. Si un script d'analytics ou de publicité effectue du fingerprinting des visiteurs sur votre site sans divulgation appropriée, vous héritez de ce risque de conformité.

Le scanner identifie quels scripts utilisent des techniques de fingerprinting et quelles méthodes ils emploient, vous permettant de décider quels tiers ont leur place sur vos pages.

Limites du scanner

Le scanner présente des limites réelles qu'il faut comprendre. Il charge une page une seule fois, dans un seul navigateur, depuis un seul emplacement — un instantané, pas une surveillance continue.

Il ne détecte pas :

Les scripts qui varient selon l'utilisateur ; les outils d'ad tech et de tests A/B servent du code différent selon les utilisateurs, les appareils et les zones géographiques
Les attaques intermittentes ; les skimmers Magecart qui ne se déclenchent qu'au moment du paiement pour certaines plages d'IP ou certains user agents
Les injections post-chargement ; les scripts qui chargent du code supplémentaire dynamiquement en fonction des interactions utilisateur
Les modifications du tag manager ; les conteneurs GTM peuvent être mis à jour à tout moment sans déploiement

Aucun scanner ne peut observer ce qui s'exécute dans le navigateur de vos utilisateurs réels au fil du temps. C'est dans l'écart entre un audit ponctuel et une surveillance continue que se cachent les attaques.

Là où cside prend le relais

cside comble cet écart grâce à une surveillance continue de la sécurité côté client. Plutôt que de scanner une seule fois, cside proxifie les scripts avant qu'ils n'atteignent le navigateur, en inspectant le code en temps réel sur l'ensemble des utilisateurs et des sessions.

Cela permet de détecter ce que les instantanés manquent : les scripts qui se comportent différemment pour certains utilisateurs, le code qui change après la revue, et les compromissions de la chaîne d'approvisionnement qui affectent des conditions spécifiques. Les vraies attaques n'attendent pas votre prochain audit planifié.

Essayez-le

Le scanner est gratuit et open source sur ClawHub :

npx clawhub@latest install cside-site-scanner

Demandez ensuite à votre agent IA de scanner n'importe quel site.

Si les résultats soulèvent des inquiétudes, nous sommes là pour vous aider !

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Le scanner charge la page dans un navigateur headless et enregistre chaque requête de script externe ainsi que chaque script inline exécuté, en les regroupant par domaine et par finalité. Il effectue également un inventaire post-tag-manager pour capturer les scripts injectés par GTM ou des systèmes similaires, afin que vous puissiez voir à la fois le code chargé au démarrage et celui ajouté par le tag manager.

Le scanner capture les scripts observés pendant le chargement de la page et la phase d'exécution immédiate du tag manager, mais il ne surveille pas en continu le code injecté ultérieurement par des interactions utilisateur ou des déclencheurs temporels. Pour la détection des injections post-chargement, une surveillance en temps réel sur les sessions utilisateurs réelles est nécessaire.

Il recherche les API et les patterns de fingerprinting courants : appels canvas et WebGL, analyse AudioContext, énumération des polices, collecte des propriétés navigator, et bibliothèques connues comme FingerprintJS. Le scanner indique quelles techniques ont été observées et quels scripts les ont utilisées, afin que vous puissiez évaluer les risques en matière de confidentialité et de conformité.

Oui. Le scanner signale les formulaires de paiement et identifie les scripts tiers ayant accès au DOM de ces éléments, ce qui contribue à satisfaire l'exigence 6.4.3 consistant à inventorier et justifier tous les scripts présents sur les pages de paiement. Il fournit des preuves utilisables lors d'audits, bien qu'une surveillance continue soit recommandée pour une assurance de conformité complète.

Le scanner fournit un instantané à un instant donné, depuis un seul emplacement et un seul navigateur. Il ne détecte pas les variations par utilisateur, les attaques intermittentes, ni le code injecté après le chargement ou déclenché par des interactions. Une surveillance en temps réel continue sur les utilisateurs et les sessions réels est nécessaire pour détecter les comportements changeants ou conditionnels.

La détection du tag manager compare l'inventaire des scripts avant et après l'exécution du tag manager pour révéler les scripts ajoutés par des outils marketing plutôt que par l'équipe technique. C'est essentiel, car les scripts ajoutés via un tag manager contournent généralement la revue de code, créant une large surface d'attaque non auditée.

Utiliser le scanner sur des sites que vous possédez est sans risque ; il se comporte comme un chargement de navigateur standard et respecte le robots.txt pour les interactions de type crawler. Le scanner open source peut être exécuté localement afin que les équipes contrôlent si les résultats sont stockés ou transmis ; vérifiez les paramètres de déploiement et de rétention des données si vous utilisez une instance hébergée.

Le scanner évalue CSP, HSTS, X-Frame-Options, Permissions-Policy, et vérifie la présence de Subresource Integrity sur les scripts externes. Il audite également les cookies pour leur origine (first-party ou third-party), ainsi que les attributs Secure, HttpOnly et SameSite, et met en évidence les mauvaises configurations qui augmentent le risque de détournement de session ou de CSRF.

Vous pouvez exécuter le scanner open source dans un job CI qui teste les URL de staging pour détecter les scripts tiers nouvellement ajoutés avant qu'ils n'atteignent la production. Comme le scanner est rapide, il s'intègre facilement dans des vérifications pré-déploiement ou des audits nocturnes ; pour une couverture complète, combinez-le avec une surveillance en temps réel pour détecter les changements après le déploiement.

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Réserver une démonstration

Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité

Comment arrêter le partage de compte sur les plateformes e-commerce : détecter les abonnements partagés sans bloquer les acheteurs du même foyer

Le partage de compte dans l'e-commerce prend trois formes distinctes : partage d'abonnement, partage d'identifiants de programme de fidélité et…

Comment Détecter et Bloquer les Agents IA Inconnus sur Votre Site Web

Les agents IA inconnus n'ont pas de user-agent et ignorent robots.txt. Découvrez les signaux du navigateur qui révèlent les agents non déclarés et comment agir.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les exigences de sécurité des scripts de la UK Gambling Commission

Conditions de licence de la UK Gambling Commission et sécurité des scripts tiers : ce que les opérateurs doivent savoir

La conformité LCCP de la UKGC exige un environnement technique sécurisé. Les scripts tiers qui redirigent ou exfiltrent créent une exposition directe.

Partage de compte en SaaS B2B : comment appliquer la licence par siège sans bloquer les équipes légitimes

Le partage de sièges en SaaS B2B est la forme d'abus d'identifiants la plus sous-détectée.

Comment Bloquer l'Automatisation Playwright sur Votre Site Web

Playwright pilote de vrais navigateurs identiques à des humains au niveau réseau. Voici comment le détecter, et pourquoi robots.txt et le blocage d'IP échouent.

Schéma d'une chaîne de dépendances tierces avec un SDK d'analytics compromis injectant du code malveillant dans le frontend de Polymarket.

Au cœur de l'attaque de chaîne d'approvisionnement côté client de $3M contre Polymarket

Un fournisseur tiers compromis a injecté un vidangeur de portefeuilles dans le frontend de Polymarket et volé environ $3M, smart contracts intacts.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les pixels de suivi invisibles et le risque publicitaire dans les jeux

Shadow tracking pixels sur les sites de jeux d'argent : le problème de conformité GDPR et publicitaire que les opérateurs ne voient pas

Des pixels Facebook, TikTok ou LinkedIn non autorisés sur les sites de jeux d'argent déclenchent une double responsabilité GDPR et publicitaire.

Comment arrêter le partage de compte dans les programmes de fidélité aériens : détecter l'utilisation abusive des identifiants sans bloquer les grands voyageurs

Les comptes grands voyageurs sont partagés selon trois schémas distincts, chacun ayant des implications différentes sur les revenus et la conformité.

Comment Bloquer PerplexityBot sur Votre Site Web

PerplexityBot explore votre contenu pour la recherche IA. Voici comment le bloquer, pourquoi il a essuyé des critiques sur le droit d'auteur, et en quoi Perplexity Shopper diffère.

Conteneurs Shadow GTM sur les plateformes de jeu multimarques : qu'est-ce qu'ils sont et comment les détecter

Les conteneurs GTM non autorisés exécutent du JavaScript sur vos domaines de jeu. Comment ils apparaissent et pourquoi les outils les manquent.