Blog

Le risque de la chaîne d'approvisionnement ne s'arrête pas à NPM

En ne vérifiant que NPM (ou un autre registre), vous n'êtes pas protégé contre les attaques via des scripts tiers.

May 30, 2024 • 3 min read

Illustration montrant que la securite cote client ne se limite pas a npm

Les attaques de la chaîne d'approvisionnement sont un problème majeur aujourd'hui. Le nombre de ces attaques aux États-Unis a augmenté de 115 % entre 2022 et 2023, selon Statista. Des outils comme Socket et Coana détectent le code malveillant dans les registres comme NPM. Mais le risque de la chaîne d'approvisionnement ne s'arrête pas là.

Schéma des risques de sécurité côté client liés au contenu tiers injecté dynamiquement

Certains outils sont des scripts tiers qui sont récupérés par le navigateur de l'utilisateur. En ne vérifiant que NPM (ou un autre registre), vous n'êtes pas protégé contre les attaques via ces scripts.

Ces scripts, utilisés pour le suivi marketing, les publicités, les captchas et bien plus encore, sont fréquemment implémentés sur des sites entiers par commodité. Ces scripts sont puissants et peuvent faire des choses comme réécrire du code, rediriger les utilisateurs, exfiltrer des données et même miner de la crypto dans votre navigateur.

Le mode de livraison de ces scripts permet un comportement dynamique. N'importe quel utilisateur peut recevoir une livraison différente à chaque fois, surtout lorsqu'un script a été compromis.

Alors que de plus en plus de personnes adoptent de meilleures approches de sécurité des dépendances, les scripts dynamiques qui sont récupérés côté navigateur constituent un vecteur d'attaque de plus en plus intéressant et substantiel. Cela fait de la vérification des sources seules un jeu risqué. La meilleure approche consiste à vérifier le code complet à chaque fois qu'il est livré, ce que fait cside.

De plus, beaucoup de ces scripts ne sont pas maintenus par des entreprises centrées sur la technologie. Les outils peuvent être négligés lorsque les entreprises se dissolvent ou sont acquises, les rendant susceptibles d'être détournés. Même les services réputés et largement utilisés ne sont pas sans défauts, comme en témoignent les problèmes de cdnjs en 2021 ou cette personne qui a acheté un domaine expiré de la police et des services sociaux en Belgique et a obtenu l'accès à des informations privées de cette manière.

Enfin, 95 % de ces scripts manquent de protections contre les détournements DNS. Même le réseau sur lequel vous vous trouvez peut impacter le script que vous recevez.

Que faire face à tout cela

Voici ce que nous recommandons :

Utilisez un outil comme Socket (ou des alternatives) pour le risque de la chaîne d'approvisionnement sur le registre et utilisez cside pour surveiller le comportement des scripts tiers côté navigateur. Nous vérifions le code complet des sources tierces, 100 % du temps, avant qu'il ne soit livré au navigateur de votre utilisateur. Sécurisant ainsi pleinement ce côté de la chaîne d'approvisionnement.

Enfin, vous devriez protéger votre infrastructure contre les attaques entrantes. Pour cela, utilisez quelque chose comme le pare-feu d'application Web de Cloudflare.

Des éléments plus spécifiques comme les téléchargements de formulaires et la détection de bots peuvent nécessiter des outils spécialisés.

Utilisez des outils de surveillance proactive comme Hadrian ou Cycognito pour surveiller la surface de menace.

Schéma des couches de risque de chaîne d'approvisionnement au-delà des paquets npm

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Les dépendances de build sont une source de risque, mais les scripts tiers à l'exécution, les CDN et le contenu chargé dynamiquement s'exécutent aussi dans le navigateur. Un attaquant n'a besoin de compromettre qu'une de ces couches pour atteindre vos utilisateurs.

CDN, gestionnaires de tags, outils d'A/B testing, analytics, SDK de paiement et tout script qui en charge d'autres. La surveillance côté client comme cside les observe à l'exécution, pas seulement à l'installation.

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Réserver une démonstration

Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité

Détection du partage de compte : comment combler la lacune d'application que les limites de sessions simultanées manquent

Les limites de sessions simultanées signalent le cas évident.

Comment Bloquer Applebot-Extended sur Votre Site Web

Applebot-Extended est le crawler d'entraînement IA d'Apple qui alimente Apple Intelligence. Découvrez comment il diffère d'Applebot et comment vous désinscrire via robots.txt.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur la surveillance des scripts tiers sur des domaines de casino

Comment surveiller les scripts tiers sur 100 domaines de casino ou plus

Guide pratique pour surveiller les scripts tiers sur 100+ domaines de casino : prolifération, alertes inter-domaines et mise à l'échelle de cside.

Risques de sécurité de l'IA agentique pour les sites web : confidentialité, conformité et détection

Les navigateurs d'IA agentique contournent le consentement aux cookies, exécutent de vrais scripts JavaScript et créent des lacunes de conformité RGPD invisibles pour la détection de bots au niveau CDN.

Illustration d'un système neuronal de détection de bots en deux étapes séparant les sessions de navigateur humaines et celles des bots

Attraper les bots qui ne veulent pas l'être : au cœur d'une pile de détection neuronale à deux étages

Comment une pile neuronale à deux étages attrape navigateurs furtifs, scrapers résidentiels et agents LLM qui déjouent l'empreinte, et ses limites.

Comment Bloquer DeepSeekBot sur Votre Site Web

DeepSeekBot explore votre site pour une entreprise d'IA chinoise. Découvrez comment le bloquer avec robots.txt, des règles d'IP, et les vrais risques de souveraineté des données qu'il pose.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur la conformité des scripts auprès de la Malta Gaming Authority

Conformité Malta Gaming Authority et sécurité des scripts côté client : ce que les opérateurs agréés MGA doivent couvrir

Les règles MGA exigent une plateforme sécurisée et auditable. Le JavaScript tiers est une lacune que la plupart des opérateurs n'ont pas auditée.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les attaques de scripts tiers contre les plateformes iGaming

Attaques de scripts tiers sur les plateformes iGaming en 2026 : la nouvelle surface d'attaque que les opérateurs négligent

JavaScript tiers est la principale surface d'attaque non surveillée en iGaming. Les sept classes d'attaque et pourquoi les outils les manquent.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les pixels non autorisés dans les jeux et la responsabilité RGPD

GDPR et jeux d'argent en ligne : pourquoi les pixels non autorisés créent un problème de double responsabilité

Les pixels non autorisés sur les sites de jeux d'argent créent une responsabilité GDPR et des suspensions de comptes publicitaires à la fois.

Conformité HIPAA et technologies de suivi web : le guide pour les établissements de santé

L'OCR du HHS a statué que les pixels de suivi et les scripts tiers sur les sites web de santé peuvent exposer des PHI. Ce que les entités couvertes doivent faire pour se conformer.