Dans cette interview avec Help Net Security, Vitaliy Lim, CTO chez Feroot, parle des menaces JavaScript les plus courantes, de l’impact dévastateur du code malveillant ou vulnérable et de l’importance de la sécurité JavaScript dans le processus de développement.
Nous entendons beaucoup de menaces JavaScript dans les actualités ces jours-ci. Pouvez-vous nous en dire un peu plus sur ces menaces et pourquoi elles sont si dangereuses ?
JavaScript est un langage de programmation vraiment facile à pirater. Les pirates et les attaquants peuvent facilement saisir des chaînes de requête dans le code JavaScript des applications Web pour accéder, voler ou contaminer des données protégées. Ainsi, tout code JavaScript vulnérable ou malveillant qui se retrouve dans une application Web va présenter des risques importants pour une organisation.
De plus, de nos jours, la plupart des développeurs front-end assemblent des applications Web à partir de scripts trouvés dans des bibliothèques tierces. Si le code trouvé dans les bibliothèques est dangereux (par exemple, s’il est mal écrit ou intentionnellement malveillant), alors toute la chaîne d’approvisionnement du logiciel JavaScript a été compromise. De plus, le personnel interne de l’entreprise place parfois par inadvertance des balises JavaScript vulnérables dans un emplacement sensible de l’application Web, par exemple près d’une connexion où la balise peut être en mesure de capturer les informations d’identification de l’utilisateur. Enfin, JavaScript est utilisé dans environ 98 % des sites Web dans le monde. Cela crée une énorme surface d’attaque pour les acteurs de la menace.
Les types de menaces les plus courants sur les applications Web frontales ou « côté client » sont l’e-skimming, le formjacking et le cross-site scripting (XSS). Les attaques Magecart sont une autre menace courante côté client ciblant les organisations.
En termes de dangers, si une organisation est victime d’une attaque côté client, elle peut ne pas le savoir immédiatement, en particulier si elle n’utilise pas une solution de sécurité automatisée de surveillance et d’inspection. Parfois, c’est une victime utilisateur final (comme un client) qui découvre en premier que sa carte de crédit ou ses informations personnelles ont été compromises. L’impact de ces types d’attaques côté client peut être grave. Si l’organisation a des problèmes de conformité ou de réglementation, des enquêtes et des amendes importantes pourraient en résulter.
Les autres impacts incluent les coûts associés à la résolution des attaques, les retards opérationnels, l’infiltration du système et le vol d’informations d’identification sensibles ou de données client. Il y a également des conséquences à long terme, telles que des dommages à la réputation et des clients perdus. Si l’attaque porte sur une application Web B2B, des attaques en amont peuvent également se produire sur les clients de l’organisation, selon le type de données volées.
Quel type d’impact les bibliothèques JavaScript tierces et le code JavaScript pré-écrit ont-ils sur la sécurité frontale ?
Avec 80 % de toutes les applications Web assemblées à l’aide de bibliothèques JavaScript tierces, tout code malveillant ou vulnérable trouvé dans ces bibliothèques peut avoir des conséquences assez importantes. Il se passe plusieurs choses ici.
Premièrement, des acteurs malveillants utilisent ces bibliothèques tierces pour diffuser des logiciels malveillants et lancer des attaques. Par exemple, une étude récente de l’industrie a trouvé plus de 1 300 packages malveillants dans le gestionnaire de packages JavaScript npm.
Deuxièmement, parfois, le script trouvé dans la bibliothèque tierce est simplement mal écrit. Le code peut inclure des balises de suivi ou de médias sociaux qui sont installées de manière inappropriée et finissent par capturer et partager des informations sensibles, telles que les identifiants de connexion.
En fin de compte, les bibliothèques JavaScript tierces font partie de la chaîne d’approvisionnement logicielle et, du point de vue de la sécurité, elles doivent être traitées comme telles.
Pourquoi la sécurité côté client est-elle importante et pourquoi les entreprises devraient-elles lui donner la priorité ?
C’est une question très importante. Les attaques contre le côté client se multiplient. En fait, les recherches du secteur ont révélé que les attaques d’applications Web augmentent d’environ 25 % chaque trimestre. Ajoutez à cela l’insécurité inhérente à JavaScript et le fait que 98% de tous les sites Web utilisent JavaScript et vous avez les ingrédients pour une parfaite tempête de cybercriminalité.
La conformité est également une préoccupation majeure. Les mandats réglementaires tels que GDPR et HIPAA, ainsi que les réglementations spécifiques au secteur financier, signifient que les gouvernements exercent une forte pression sur les organisations pour assurer la sécurité des informations sensibles des utilisateurs. Ne pas le faire peut entraîner des enquêtes et des amendes substantielles.
À l’heure actuelle, de nombreuses organisations se concentrent sur la sécurité back-end ou « côté serveur ». Dans une certaine mesure, cela est compréhensible. Il y a beaucoup de nouvelles sur les jours zéro, les rançongiciels, les vulnérabilités logicielles, etc., et personne ne veut devenir la dernière victime. Mais ignorer la sécurité côté client, c’est un peu comme n’assurer que la moitié de votre maison, ce que, bien sûr, personne n’envisagerait jamais de faire. En ce qui concerne les systèmes d’entreprise, il est extrêmement important de sécuriser à la fois le front-end et le back-end. Les entreprises doivent commencer à donner la priorité au côté client.
Donnez-nous votre avis sur l’avenir de la sécurité côté client et JavaScript.
c’est une excellente question. Selon l’enquête auprès des développeurs Stack Overflow 2021, JavaScript est le langage de programmation le plus populaire, utilisé par près de 70 % de tous les développeurs professionnels. L’utilisation des frameworks Web JavaScript domine également parmi les développeurs professionnels. Et 98% de tous les sites Web utilisent JavaScript, selon W3Techs. Ainsi, la réalité est que JavaScript domine le monde de la programmation d’applications Web et qu’il ne va nulle part de sitôt.
Sachant cela, l’importance de la sécurité côté client et de la sécurité JavaScript devient évidente. Avec des attaques côté client de manière exponentielle et avec une conformité croissante et des pressions réglementaires pour protéger les données des utilisateurs, les entreprises constateront de plus en plus que la sécurité JavaScript est absolue. Et les anciennes méthodes de sécurisation de JavaScript, telles que les révisions de code manuelles (qui prennent énormément de temps et d’intensité), ne seront tout simplement pas durables. Les organisations devront automatiser leurs solutions de surveillance et d’inspection pour aider à protéger leur côté client.
Les entreprises peuvent en savoir plus sur la sécurité JavaScript dans notre nouveau livre électronique : Le guide ultime de la sécurité JavaScript.
Partagez avec nous un peu plus sur Feroot Security et comment vos produits et solutions aident à résoudre les attaques côté client.
Nous avons fondé Feroot Security sur la base de la conviction que tout le monde devrait pouvoir faire des affaires en ligne en toute sécurité, sans risque de compromission des données. Les utilisateurs finaux ne devraient pas avoir à s’inquiéter lorsqu’ils se rendent sur un site Web B2B ou B2C que leurs informations personnelles et financières sensibles vont être volées. Nous avons conçu nos produits pour aider les organisations à comprendre et à découvrir les vulnérabilités frontales, y compris les risques de la chaîne d’approvisionnement, et à protéger et sécuriser leur côté client afin que leurs clients puissent interagir en toute sécurité avec le site Web.
Notre produit, Inspector, fournit une surveillance automatisée de la surface d’attaque côté client qui aide une entreprise à découvrir tous les actifs côté client et tous les scripts vulnérables ou malveillants situés sur ces actifs en quelques minutes seulement. Inspector analyse et localise les vulnérabilités de sécurité JavaScript côté client et les signale, et fournit des conseils spécifiques de correction des menaces côté client aux équipes de sécurité en temps réel. Avec Inspector, les clients sont en mesure d’effectuer une gestion et une défense constantes de la surface d’attaque côté client.
La solution PageGuard est basée sur le modèle Zero Trust. Il analyse et surveille en permanence le côté client et applique automatiquement les configurations de sécurité JavaScript. PageGuard peut classer les actifs JavaScript mappés, surveiller, détecter et gérer de nouveaux scripts, modifications ou scripts tiers, et déployer des capacités de sécurité d’exfiltration des données client, entre autres.