Un seul script compromis peut récupérer des données pendant des semaines, tout en restant invisible pour les outils de sécurité traditionnels.
Les CSP, les crawlers et les agents JS ont été conçus pour lutter contre les menaces statiques. Les attaques modernes contournent ces approches grâce à un code dynamique.
PCI DSS La version 4.0.1 nécessite une surveillance côté client.GDPR Elle pénalise les entreprises en cas de fuites de données provenant de scripts malveillants ou mal configurés.
Sélectionnez le mode qui correspond le mieux à vos besoins en matière de sécurité et à vos exigences techniques.
Je me soucie de la sécurité côté client et j'ai besoin d'un outil facile à expliquer au reste de l'équipe.
Nous vérifions le comportement des scripts dans le navigateur et récupérons les scripts de notre côté. Nous ne nous plaçons pas dans le chemin d'un script, sauf si vous nous le demandez explicitement.
Operating Model: Autoriser le script à fonctionner directement pour les scripts auxquels je fais confiance, les scripts auxquels je ne fais pas confiance bénéficient d'un traitement de sécurité complet.
Je suis une cible de grande valeur et j'ai besoin d'un contrôle total de la sécurité.
Nous vérifions le comportement des scripts etcsidenous nous plaçons entre les tiers non contrôlés et l'utilisateur final - sauf pour les scripts pour lesquels vous nous avez demandé de ne pas nous interposer.
Operating Model: Tous les scripts passent,csidesauf certains.
Je n'ai pas la possibilité d'ajouter un script au site web.
cside informations sur les menaces recueillies par des milliers d'autres sites web totalisant des milliards de visiteurs.
Operating Model: Analyse statique alimentée par les informations sur les menaces provenant de notre réseau.
Contrairement aux systèmes d'exploitation modernes, les navigateurs ne prennent pas en charge nativement les fournisseurs de sécurité tiers.CSP et SRI ont leurs limites, nous devons donc faire preuve de créativité. La plupart des détections côté client utilisantJavaScript dans le navigateur sont faciles à rétroconcevoir et à contourner. Malheureusement, des détections côté client trop strictes peuvent endommager certaines bibliothèques côté client. Un script de sécurité côté client sert essentiellement à encapsuler les API pouvant être utilisées par des acteurs malveillants et à surveiller les scripts qui les utilisent. Le problème est que tous les scripts ne fonctionnent pas correctement avec cela. C'est pourquoi nous avons adopté une approche beaucoup plus élaborée pour les utilisateurs les plus soucieux de la sécurité. En combinant les détections dans le navigateur avec celles de notre propre moteur à l'aide de notre moteur de contrôle d'accès propriétaire, nous créons un scénario équilibré qui offre le meilleur de tous les mondes. Nous équilibrons la capacité de détection avec la facilité d'utilisation et la résilience, et donnons finalement au client la possibilité de choisir l'approche qui lui convient.
Protégez les données de paiement sensibles et respectez la conformité PCI.
Empêchez le skimming des cartes et protégez les flux de paiement des clients.
Sécurisez les processus de réservation et protégez les informations des clients.
Préservez la confidentialité des données des patients et respectezHIPAAla réglementation.
Notre approche offre des avantages que les outils traditionnels ne peuvent égaler. Nous combinons des sessions utilisateur réelles avec une analyse de script alimentée par l'IA afin d'obtenir une vue complète du comportement du script.
| Fonctionnalité | côté | Solutions traditionnelles |
|---|---|---|
FAQ
Foire aux questions
La sécurité côté client protège les utilisateurs contre les menaces qui surviennent directement dans leur navigateur lorsqu'ils visitent des sites Web, en particulier contre les scripts et les dépendances malveillants provenant de tiers. Ces scripts peuvent voler des informations de carte de crédit, des informations personnelles, des jetons de session et entraîner des violations majeures de la conformité à votre insu. Contrairement aux attaques côté serveur qui ciblent votre infrastructure, les attaques côté client se produisent en temps réel dans les navigateurs des utilisateurs, ce qui les rend invisibles pour les outils de sécurité traditionnels tels que les pare-feu et les systèmes de surveillance des serveurs.
Les scripts tiers sontJavaScriptdes fichiers provenant de sources externes que les sites Web utilisent pour améliorer leurs fonctionnalités, leurs analyses, leur publicité et l'expérience utilisateur. Bien que ces scripts améliorent les performances des sites Web, un seul script malveillant peut permettre à des pirates informatiques de récupérer des informations de carte de crédit (attaques Magecart), de voler des identifiants de connexion et des informations personnelles, d'injecter des redirections malveillantes et de détourner des sessions utilisateur. Le risque réside dans le fait que ces scripts s'exécutent avec tous les privilèges du site Web, ce qui leur donne accès à tout ce que les utilisateurs voient et saisissent sur vos pages.
Les pirates compromettent les scripts tiers par le biais d'attaques de la chaîne d'approvisionnement, en prenant le contrôle des domaines CDN ou en injectant du code malveillant dans des scripts légitimes. Ils peuvent alors voler des données de paiement en temps réel, rediriger les utilisateurs vers des sites malveillants, capturer les informations saisies dans les formulaires et les mots de passe, ou injecter de faux formulaires de paiement. De nombreuses attaques sont sophistiquées et conditionnelles, ne ciblant que des utilisateurs spécifiques ou s'activant à certains moments afin d'échapper à la détection par les outils de sécurité qui n'effectuent que des analyses périodiques.
Deux exemples notables incluent l'attaque contre BritishMagecart Airways en 2018, où des scripts tiers compromis ont volé les informations bancaires de plus de 380 000 clients, entraînant des amendes initialement supérieures à 200 millions de dollars. Plus récemment, le détournement de Polyfill.js en 2024 a vu des pirates prendre le contrôle d'un domaine CDN largement utilisé, redirigeant les utilisateurs de plus de 100 000 sites web vers des sites pour adultes et des sites de paris. Ces attaques démontrent comment un script compromis peut avoir un impact simultané sur des millions d'utilisateurs à travers des milliers de sites web.
Les outils de sécurité traditionnels tels que les pare-feu, la surveillance des serveurs et la protection des terminaux se concentrent sur les menaces côté serveur et le trafic réseau. Les attaques côté client s'exécutent entièrement dans les navigateurs des utilisateurs après le chargement de la page, ce qui les rend invisibles pour ces mesures de sécurité conventionnelles. De plus, de nombreuses attaques côté client sont conditionnelles et sophistiquées, ne ciblant que des utilisateurs spécifiques ou ne s'activant que dans certaines conditions, ce qui signifie qu'elles peuvent fonctionner sans être détectées pendant de longues périodes tout en affectant des utilisateurs réels.
Sur les sites Web financiers, des scripts tiers malveillants peuvent voler des identifiants de connexion, des informations personnelles telles que les numéros de sécurité sociale et les adresses, les numéros de compte, les données de transaction et les détails de paiement. Pour ce faire, ils interceptent les soumissions de formulaires, capturent les frappes au clavier, accèdent au stockage du navigateur, manipulent les pages pour créer de faux formulaires et contournent les mesures de sécurité. Ces scripts fonctionnent avec tous les privilèges du site Web, ce qui les rend extrêmement dangereux pour tout site traitant des informations financières sensibles.
Selon Visa, 70 % des vols de cartes de crédit se produisent désormais côté client, ce qui en fait l'un des vecteurs d'attaque les plus dangereux auxquels sont confrontées les entreprises aujourd'hui. Cette statistique souligne pourquoi les mesures de sécurité traditionnelles côté serveur sont insuffisantes et pourquoi les entreprises ont besoin de solutions de sécurité dédiées côté client. L'évolution vers les attaques côté client reflète la manière dont les pirates se sont adaptés pour contourner les outils de sécurité conventionnels en ciblant directement l'environnement du navigateur.
Posez-vous cette question cruciale : vos outils de sécurité peuvent-ils montrer exactement quelles données chaque script tiers collecte, et peuvent-ils détecter une charge utile malveillante qui ne se déclenche que pour 1 visiteur sur 1 000 ou qui ne cible que 5 % des utilisateurs après 17 heures ? 99 % des entreprises répondent NON à cette question. Si vos outils de sécurité n'effectuent que des analyses périodiques ou ne peuvent pas analyser les charges utiles réelles des scripts en temps réel, vous êtes vulnérable aux attaques sophistiquées et conditionnelles côté client.
