Blog Attacks

Conditions de licence de la UK Gambling Commission et sécurité des scripts tiers : ce que les opérateurs doivent savoir

La conformité LCCP de la UKGC exige un environnement technique sécurisé. Les scripts tiers qui redirigent ou exfiltrent créent une exposition directe.

Jun 27, 2026 • 12 min read

Mike Kutlu Client-Side Security Consultant

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les exigences de sécurité des scripts de la UK Gambling Commission

En travaillant avec des opérateurs agréés UKGC, la lacune que nous rencontrons le plus systématiquement n'est pas dans leurs politiques de jeu responsable ni dans leurs contrôles AML. Elle se situe au niveau du browser. Les équipes conformité passent des mois à se préparer pour les examens UKGC et les enquêtes ICO, mais presque aucune d'entre elles n'a de réponse documentée à la question : quel JavaScript tiers s'exécute sur vos pages orientées joueurs en ce moment ? Lorsque nous effectuons une analyse initiale pour un nouvel opérateur, le constat typique est de 40 à 80 scripts par session, avec une proportion significative que l'équipe conformité ne peut pas immédiatement identifier.

La UK Gambling Commission tient les opérateurs agréés à un niveau élevé d'intégrité technique et de protection des joueurs. Ce que de nombreuses équipes conformité n'ont pas encore pris en compte, c'est la couche browser : le JavaScript qui s'exécute sur l'appareil d'un joueur après le chargement de vos pages. cside a détecté plus de 300 000 signaux d'attaque sur les sites surveillés au seul premier trimestre 2025. Ce chiffre est dérivé de sessions utilisateurs réelles instrumentées sur le parc surveillé, comptant chaque comportement anormal distinct (tentative de redirection, exfiltration de données, accès à un champ de formulaire hors du périmètre déclaré, ou déclenchement de shadow pixel) comme un signal séparé. Une proportion significative de ces signaux provenait de scripts tiers que les opérateurs avaient soit oubliés soit supposés bénins. Si un script sur votre domaine redirige des joueurs, exfiltre des données de formulaire ou commet une fraude d'affilié, le LCCP vous en tient responsable.

Ce que le LCCP exige réellement au niveau du browser

Réponse rapide : les Licence Conditions and Codes of Practice de la UKGC exigent que les opérateurs maintiennent un environnement techniquement sécurisé pour les interactions des joueurs. Bien que le LCCP ne nomme pas les attaques de supply chain JavaScript par leur nom, le Social Responsibility Code 3.4.1, l'Ordinary Code 5.1 et les obligations anti-fraude exigent collectivement que les opérateurs sachent ce qui s'exécute sur leurs plateformes et empêchent tout préjudice aux joueurs de quelque source que ce soit.

Le LCCP ne ressemble pas à une spécification de cybersécurité. C'est en partie le problème. Les équipes conformité se concentrent sur les mesures de jeu responsable, la vérification de l'âge et les normes publicitaires, tandis que les conditions relatives à l'environnement technique restent en arrière-plan, supposément couvertes par l'informatique.

Les conditions pertinentes comprennent :

Social Responsibility Code 3.4.1 : les opérateurs doivent prendre toutes les mesures raisonnables pour protéger les clients contre les préjudices
Ordinary Code 5.1 : les opérateurs doivent maintenir l'intégrité de leurs systèmes et la sécurité des données clients
Conditions anti-blanchiment et anti-fraude : les opérateurs doivent avoir des contrôles en place pour prévenir les activités frauduleuses sur leurs plateformes
Normes techniques pour les systèmes de jeux à distance : les plateformes doivent fonctionner comme les joueurs le prévoient

Les scripts tiers peuvent violer chacune de ces conditions sans qu'une seule ligne de votre propre code soit compromise. Un script d'affilié malveillant injectant la superposition d'un opérateur concurrent, un tag analytique compromis collectant des données de paiement, ou une attaque de redirection envoyant les joueurs vers un autre site lors du dépôt sont tous des défaillances d'intégrité technique au regard du LCCP. La Commission n'accepte pas « nous ne savions pas qu'il était là » comme défense.

Comment les scripts tiers créent une exposition à la conformité LCCP

Réponse rapide : un opérateur de jeux d'argent moyen charge 40 à 80 scripts tiers par session couvrant les analyses, le tracking d'affiliés, le chat en direct, les CDN et les widgets de paiement. Chacun est un point d'entrée potentiel. Lorsque l'un de ces scripts se comporte mal, les opérateurs font face à une exposition au titre de la protection des joueurs, de l'intégrité technique et des conditions anti-fraude simultanément, que le script ait été intentionnellement malveillant ou non.

Le risque n'est pas théorique. Les opérateurs découvrent régulièrement des scripts sur leurs plateformes qu'ils ne peuvent pas identifier, soit parce qu'ils ont été ajoutés des années auparavant par un membre de l'équipe qui est depuis parti, soit parce qu'un container de gestion des tags a été mal configuré, soit parce qu'un fournisseur légitime a été compromis en amont.

Les risques courants liés aux scripts tiers sur les plateformes de jeux d'argent comprennent :

Les scripts de redirection d'affiliés qui envoient discrètement les joueurs vers des plateformes concurrentes au moment de forte intention (inscription, dépôt)
Les outils d'analyse ou de heatmap qui capturent les saisies dans les champs de formulaire, y compris les données de carte de paiement ou les documents d'identité
Les shadow pixels injectés via des containers GTM compromis qui exfiltrent les données de session des joueurs vers des destinations inconnues
Les compromissions de supply chain de style Polyfill.js où une bibliothèque largement utilisée est reprise et weaponisée (la divulgation Sansec de juin 2024 a montré plus de 490 000 sites affectés simultanément)

Au regard du LCCP, chacun de ces scénarios crée une exposition réglementaire parce que le préjudice se produit sur votre plateforme agréée, dans une interaction avec un joueur dont vous êtes responsable. La UKGC ne distingue pas entre les préjudices causés par votre propre code et les préjudices causés par un script tiers s'exécutant sur votre domaine.

Réponse rapide : l'article 28 du UK GDPR rend les opérateurs responsables de tout traitement tiers des données des joueurs survenant sur leur domaine. Si un script exfiltre des données de joueurs vers un serveur externe, l'opérateur est le responsable du traitement responsable de ce transfert, même s'il n'a pas installé le script. L'amende de 20 millions de livres sterling de l'ICO contre British Airways montre l'ampleur du risque d'exécution en cas de contrôles de sécurité des données techniques insuffisants.

La mesure d'exécution de l'ICO contre British Airways en 2020 reste le précédent UK le plus clair pour les défaillances de sécurité des données au niveau du browser. L'ICO a infligé une amende de 20 millions de livres sterling après que des attaquants ont compromis le site web de British Airways et utilisé des scripts injectés pour collecter des données de paiement des clients. La conclusion de l'ICO était sans ambiguïté : l'organisation était responsable du traitement des données se produisant sur son site web, quelle que soit la méthode d'attaque.

Pour les opérateurs de jeux d'argent agréés au Royaume-Uni, le parallèle est direct. Les données des joueurs traitées sur votre domaine relèvent du UK GDPR, et cela inclut les données traitées par des scripts tiers à votre insu.

Les principales obligations comprennent :

Article 5 : les données doivent être traitées de manière licite, loyale et avec intégrité ; les opérateurs ne peuvent pas revendiquer la conformité si des scripts inconnus traitent des données de joueurs
Article 28 : les tiers traitant des données en votre nom nécessitent des accords de sous-traitance documentés ; un script s'exécutant sur votre site sans contrat en place est une violation structurelle
Article 33 : si une violation de script entraîne l'exposition de données personnelles, les opérateurs ont 72 heures pour notifier l'ICO ; ce délai commence à partir de la prise de connaissance, et la plupart des opérateurs ne savent même pas qu'une violation s'est produite avant plusieurs jours

Le rapport IBM 2024 Cost of a Data Breach établit le coût moyen mondial d'une violation à 4,88 millions de dollars. Pour les opérateurs de jeux d'argent réglementés, ajoutez l'exécution ICO, l'examen de la licence UKGC et les dommages à la réputation auprès des prestataires de paiement, et l'exposition est nettement plus élevée.

À quoi ressemble une posture de surveillance des scripts conforme à la réglementation

Réponse rapide : une posture conforme à la réglementation pour les opérateurs agréés UKGC nécessite un inventaire complet et maintenu de chaque script s'exécutant sur les pages orientées joueurs, des alertes automatisées lorsque des scripts nouveaux ou modifiés apparaissent, des preuves de ce que chaque script envoie et à qui, et des rapports prêts pour l'audit pouvant être produits sur demande lors d'un examen UKGC ou d'une enquête ICO.

La plupart des opérateurs s'appuient actuellement sur un ou plusieurs des éléments suivants, dont aucun n'est suffisant seul :

Surveillance au niveau réseau (journaux CDN ou WAF) : capture les requêtes réseau mais ne peut pas voir ce qu'un script exécute après son chargement ni quelles données il capture en mémoire
En-têtes Content Security Policy : un contrôle de base utile mais qui nécessite une maintenance et ne peut pas détecter l'exfiltration via des endpoints autorisés
Audits manuels périodiques : un instantané ponctuel qui manque les modifications introduites entre les cycles d'audit
Consent management platforms (CMPs) : gèrent le consentement pour les outils connus mais ne détectent pas les scripts injectés en dehors du flux de consentement

Une posture conforme à la réglementation nécessite une visibilité au runtime : une surveillance qui instrumente les sessions utilisateurs réelles dans le browser et observe ce que les scripts exécutent, quelles données ils accèdent, et où ils les envoient. C'est la couche qui détecte les attaques de redirection d'affiliés, les shadow pixels et les compromissions de supply chain en temps réel plutôt que des semaines plus tard.

Les exigences opérationnelles pour la conformité à la réglementation UKGC comprennent :

Inventaire complet des scripts : chaque script first-, third- et fourth-party sur chaque page orientée joueurs, y compris les scripts chargés dynamiquement et conditionnellement
Détection des modifications : alerte lorsque le comportement d'un script change, même si son URL n'a pas changé
Détection des comportements anormaux : scripts accédant aux champs de paiement, d'identité ou aux cookies sans raison documentée
Piste de preuves : journaux horodatés de chaque événement d'exécution de script pouvant être fournis à la UKGC ou à l'ICO lors d'un examen et utilisés comme base pour une enquête médico-légale et des rapports d'audit PCI

Comment cside produit des preuves prêtes pour l'audit pour les opérateurs agréés UKGC

Réponse rapide : cside instrumente 100 % des sessions utilisateurs réelles dans le browser, pas un sous-ensemble échantillonné et pas une simulation par proxy. Il détecte chaque script s'exécutant sur vos pages orientées joueurs, cartographie les flux de données vers des destinations externes, et génère les alertes de détection de modifications et d'anomalies dont les équipes conformité ont besoin pour prouver les contrôles techniques lors d'un examen de licence UKGC ou d'une enquête ICO.

Contrairement aux outils au niveau réseau tels que Cloudflare Page Shield, qui surveille les requêtes mais ne peut pas voir ce qu'un script exécute après son chargement, cside opère dans le browser où réside le risque réel. Contrairement aux approches par proxy, cside utilise des sessions utilisateurs réelles sans échantillonnage, ce qui signifie qu'il détecte les attaques intermittentes et les scripts qui ne s'activent que pour certains segments de joueurs.

Pour les opérateurs agréés UKGC, cside fournit :

Un inventaire continuellement mis à jour de chaque script first-, third- et fourth-party sur les pages orientées joueurs
Des alertes automatisées lorsque de nouveaux scripts apparaissent ou lorsque des scripts existants modifient leur comportement
La détection des tentatives d'exfiltration de données, des injections de redirection et de la fraude d'affilié
Des journaux de preuves horodatés pour chaque événement d'exécution de script, appropriés pour les rapports d'audit PCI, les enquêtes médico-légales et les preuves de conformité continue selon les normes techniques LCCP
L'intégration avec les flux de travail existants de réponse aux incidents et de conformité

Dans un déploiement auprès d'un bookmaker en ligne agréé au Royaume-Uni de taille moyenne (détails de l'opérateur anonymisés), cside a découvert 14 scripts tiers avec des connexions réseau actives que l'équipe conformité n'avait pas répertoriés dans son inventaire de scripts. Trois de ces scripts envoyaient des données vers des destinations que l'opérateur ne pouvait pas immédiatement identifier. Dans les 48 heures suivant le déploiement, l'opérateur était en mesure de produire un inventaire complet, de fermer les flux de données non déclarés, et d'initier la documentation DPA avec deux fournisseurs précédemment non documentés. Cet inventaire est devenu une partie de leur dossier de preuves de conformité ICO.

Les équipes conformité utilisant cside peuvent répondre à un examen technique UKGC avec un dossier documenté de ce qui s'est exécuté sur leur plateforme, quand cela a changé, et quelle action a été prise, plutôt que de se précipiter pour reconstituer le tableau après coup.

Type d'outil	Ce qu'il surveille	Ce qu'il manque
WAF / CDN (ex. Cloudflare Page Shield)	Requêtes réseau entrantes et sortantes	Comportement d'exécution des scripts après chargement ; données accédées en mémoire
Content Security Policy	Domaines d'origine des scripts	Ce que les scripts approuvés font avec les données ; exfiltration via des endpoints autorisés
Consent management platform	Outils déclarés dans le flux de consentement	Scripts ajoutés en dehors de la CMP ; compromissions de supply chain ; activation conditionnelle
Audit manuel périodique	Scripts présents au moment de l'audit	Modifications entre les cycles d'audit ; scripts chargés dynamiquement
Surveillance au runtime cside	100 % de l'exécution des scripts en session réelle	Conçu pour combler toutes les lacunes ci-dessus

Prochaines étapes

Si votre organisation détient une licence UKGC et que vous ne disposez pas actuellement d'un inventaire de scripts documenté et d'une capacité de surveillance au runtime, les étapes immédiates sont : commander un inventaire de scripts de vos pages orientées joueurs, évaluer ce que chaque script envoie et à qui, identifier les lacunes par rapport à vos accords de sous-traitance, et établir un mécanisme de détection des modifications pour que les ajouts futurs soient capturés en temps réel. La solution de sécurité côté client et la capacité de surveillance de la supply chain de cside sont spécifiquement conçues pour ce flux de travail. Si vous vous préparez à un examen de licence UKGC ou à une enquête ICO et que vous devez prouver des contrôles techniques, un déploiement de surveillance au runtime fournit la piste d'audit que les outils statiques ne peuvent pas produire.

Client-Side Security Consultant Mike Kutlu

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Le LCCP de la UKGC ne fait pas référence à JavaScript spécifiquement, mais le Social Responsibility Code 3.4.1 et l'Ordinary Code 5.1 exigent que les opérateurs maintiennent l'intégrité technique et protègent les joueurs contre les préjudices sur leurs plateformes. Les régulateurs interprètent ces conditions de manière large. Toute défaillance technique qui nuit aux joueurs, y compris via des scripts tiers, entre dans le périmètre.

Oui. En vertu de l'article 28 du UK GDPR, les opérateurs sont responsables de tout traitement de données survenant sur leur domaine, y compris le traitement effectué par des scripts tiers. L'amende de 20 millions de livres sterling de l'ICO contre British Airways a établi que la collecte de données au niveau du browser par des tiers n'exonère pas l'opérateur du site de sa responsabilité.

Une Content Security Policy est un en-tête qui restreint les scripts pouvant se charger. C'est un contrôle de base utile mais qui nécessite une maintenance manuelle et ne peut pas détecter l'exfiltration via des endpoints autorisés ni observer ce que les scripts approuvés font avec les données des joueurs après leur chargement. La surveillance des scripts au runtime opère dans le browser et observe le comportement réel des scripts dans les sessions utilisateurs réelles.

L'article 33 du UK GDPR exige la notification à l'ICO dans les 72 heures suivant la prise de connaissance d'une violation de données personnelles. Le défi est que la plupart des opérateurs ne savent pas qu'une violation de script s'est produite longtemps après qu'elle a commencé. La surveillance des scripts en temps réel réduit significativement le délai entre la détection et la prise de connaissance.

Oui. cside opère au niveau du browser et complète les outils au niveau réseau plutôt que de les remplacer. Les WAF et CDN protègent le périmètre serveur. cside protège la couche de session où les données des joueurs sont réellement traitées. Les deux couches ne sont pas interchangeables.

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Réserver une démonstration

Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité

Attaques de scripts tiers sur les plateformes iGaming en 2026 : la nouvelle surface d'attaque que les opérateurs négligent

JavaScript tiers est la principale surface d'attaque non surveillée en iGaming. Les sept classes d'attaque et pourquoi les outils les manquent.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les pixels non autorisés dans les jeux et la responsabilité RGPD

GDPR et jeux d'argent en ligne : pourquoi les pixels non autorisés créent un problème de double responsabilité

Les pixels non autorisés sur les sites de jeux d'argent créent une responsabilité GDPR et des suspensions de comptes publicitaires à la fois.

Conformité HIPAA et technologies de suivi web : le guide pour les établissements de santé

L'OCR du HHS a statué que les pixels de suivi et les scripts tiers sur les sites web de santé peuvent exposer des PHI. Ce que les entités couvertes doivent faire pour se conformer.

Comment Bloquer Bytespider (le Crawler IA de TikTok)

Bytespider explore votre site pour les systèmes IA de Bytedance. Découvrez comment le bloquer via robots.txt et plages d'IP, et les enjeux de souveraineté des données.

Couverture sombre du blog montrant trois méthodes d'attaque de scripts malveillants : redirections déclenchées depuis le navigateur, containers GTM fantômes avec tags malveillants et payloads mobiles géociblés

Comment les scripts malveillants détournent les parcours des joueurs de casino

Des scripts injectés redirigent les joueurs de casino avant le lobby. Les outils réseau ne les voient pas. Voici comment la détection doit fonctionner.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur la sécurité des scripts pour les opérateurs de jeux en APAC

Sécurité des scripts côté client pour les opérateurs de jeux d'argent en ligne en APAC

Comment les opérateurs de jeux d'argent APAC (Japon, Singapour, Philippines, Australie) surveillent les scripts tiers sur des sessions réelles.

Comment Bloquer Amazon Buy for Me sur Votre Site Web

Amazon Buy for Me fait ses achats sur votre site pour les membres Prime. Découvrez comment il collecte vos données de prix et de produits et comment la détection au niveau du navigateur vous redonne le contrôle.

Prévention des prises de contrôle de compte : le guide complet 2026

Le guide opérationnel ATO 2026 : un modèle de bout en bout pour défendre connexion, récupération, session et post-authentification contre les prises de contrôle pilotées par agents IA et bots.

Couverture sombre du blog cside avec une vague de pixels bleus et une liste sur les scripts affiliés compromis qui volent les revenus des casinos

Comment les scripts d'affiliation compromis volent les revenus des casinos en ligne

Les scripts d'affiliation compromis redirigent joueurs et volent commissions sur les pages de casino, silencieusement et à grande échelle.

Couverture sombre du blog montrant trois vecteurs d'attaque par extension de navigateur : redirections vers des clones de phishing, vol de token de session et réécriture des champs de paiement dans le DOM

Comment les extensions de navigateur attaquent les joueurs de casino en ligne : ce que les opérateurs peuvent faire

Les extensions de navigateur volent des tokens de session et détournent des paiements sur des sites de casino. Voici comment les détecter.