Trois recommandations pour sécuriser les sites web côté navigateur

Par Hervé Hulin

En 2022, 65 % des entreprises françaises auraient un site Internet. Une tendance qui devrait se poursuivre, à l’heure de la transformation numérique. Ces sites web sont une source d’informations précieuse. Or, seules 41% des entreprises mettent régulièrement à jour des correctifs de sécurité et 10% d’entre elles effectuent des audits. La sécurisation des sites est pourtant capitale afin de protéger les données sensibles, maintenir la confiance des utilisateurs et prévenir les attaques malveillantes.


Pour ce faire, les équipes de sécurité peuvent s’appuyer, en autres, sur trois des recommandations clés de l'Agence nationale de cybersécurité (ANSSI) qui préconise notamment de*:

Réduire la surface d'attaque et tenir à jour l'inventaire des actifs (R61)

La première étape consiste à comprendre le fonctionnement de l'application. Cela permet d'identifier plusieurs aspects importants de celle-ci, parmi lesquels un audit des“plugins”, services et dépendances utilisés ainsi que l'identification des points faibles du site web.

Grâce à ces informations, les équipes seront en mesure de créer un inventaire des actifs, qui devra être régulièrement revu. Elles auront également une meilleure appréhension de la création et l’exécution de certains processus. Certains des résultats de l’analyse pourraient également servir de lignes directrices/ ”workflows” sur la manière dont les actifs doivent être traités (quels sont ceux qui doivent être désactivés, mis à jour, segmentés, etc.).

La mise à jour régulière des actifs est nécessaire pour réduire intrinsèquement la surface d'attaque.

L'ANSSI insiste sur l'importance de maintenir une visibilité sur les différents composants d'une page web. Cet objectif peut être atteint en mettant en œuvre les pratiques suivantes :

a) Réaliser régulièrement un inventaire complet des actifs : la création et la mise à jour d'un inventaire des actifs, tels que les applications web, les bases de données, les “plugins” et les “frameworks” utilisés sur le site web, est essentielle. Cet inventaire offre une visibilité sur les composants qui constituent le site web, ce qui permet une meilleure gestion des vulnérabilités et des risques.

b) Supprimer les composants inutiles ou non utilisés : ils sont autant de points d'exploitation potentiels et accroissent la surface d’attaque. Les entreprises ont donc tout intérêt à passer régulièrement en revue les composants afin d'éliminer ceux qui sont inutiles ou inutilisés. C’est le cas par exemple de certains plugins ou scripts, pouvant présenter des risques pour la sécurité. Seuls les composants essentiels à la fonctionnalité du site doivent être conservés.

c) Utiliser un processus robuste de gestion des vulnérabilités : mettre en œuvre un processus permettant de surveiller, d'identifier et de traiter rapidement les vulnérabilités des composants du site web. Un processus efficace permet de rester informé des correctifs et des mises à jour de sécurité publiés par les fournisseurs de logiciels et de les appliquer rapidement pour minimiser le risque d'exploitation.

Tout cela permet d'atteindre un niveau de maturité plus élevé en matière de sécurité.

Mise à jour sécurisée des composants logiciels (R62)

Lors de la construction d’une page web, il n’est pas rare de recourir à divers composants fournis par de tiers. Pour limiter les vulnérabilités, ces éléments et les logiciels doivent être à jour. Il faut cependant aborder ces mises à jour avec prudence. En effet, certaines sont porteuses de contenus malveillants. Avant d’exécuter une quelconque actualisation, il faut prendre le temps de saisir les impacts qu’elle aura sur l'application. Si elle ne fonctionne pas ou se comporte mal, elle peut entraîner des problèmes de sécurité. Il est donc préférable de*:

a) Rester informé des mises à jour et des avis de sécurité : il est recommandé de suivre les notifications des éditeurs de logiciels, les avis de sécurité et les bases de données de vulnérabilités pour être au courant des problèmes de sécurité potentiels affectant les composants logiciels utilisés sur le site web. Il faut également consulter régulièrement des sources fiables d'informations sur la sécurité afin de prendre des mesures en temps utile.

b) Analyser les paquets de mise à jour avant de les appliquer : il convient d'examiner attentivement les modifications mises en œuvre dans le paquet. Pour éviter les mises à jour malveillantes ou incompatibles, il est important de vérifier l'authenticité et l'intégrité de la source. Il faut également évaluer la réputation du vendeur ou du développeur et vérifier si des problèmes de sécurité ont été signalés en rapport avec celle-ci.

c) Tester les mises à jour dans un environnement contrôlé avant de les déployer : ces tests réalisés dans un environnement hors production permettent d'identifier les éventuels problèmes de compatibilité ou les conséquences imprévues de la mise à jour. En les testant d'abord il est possible d’atténuer le risque de perturber la fonctionnalité du site web ou d'introduire de nouvelles vulnérabilités.

Éviter les modifications des composants centraux des logiciels tiers (R63)

L'ANSSI met en avant la bonne pratique consistant à éviter de modifier les composants centraux des logiciels tiers dans un souci de*:

a) Cohérence et maintenabilité : les logiciels tiers publient souvent des mises à jour et des correctifs pour remédier aux failles de sécurité et améliorer les fonctionnalités. La modification des composants de base de ces logiciels complique le processus de maintenance et pose des problèmes lors de l'application de futures mises à jour. Le fait de conserver les composants de base intacts garantit la compatibilité avec les versions futures et facilite la maintenance continue.

b) Limitation des risques de réimplémentation : si les composants de base sont modifiés, les mises à jour futures peuvent rendre ces modifications obsolètes ou incompatibles. La réimplémentation des modifications après une mise à jour peut prendre du temps, être sujette à des erreurs et peut même devenir impossible dans certains cas. Ne pas modifier les composants de base, garantit une mise à niveau plus simple et minimise les perturbations potentielles.

Longtemps négligée, la sécurisation côté navigateur joue un rôle important dans la protection des données alors qu’un nombre croissant d’acteurs exploitent ces failles. Cette tendance a attiré l’attention de l’ANSSI. En suivant ces trois recommandations, les équipes seront en mesure de mieux sécuriser la mise en production des contenus et composants. Cela facilitera également leur maintien en conditions opérationnelles. Toutes ces mesures ont vocation à renforcer les sécurisations des sites web côté navigateur pour protéger les données des utilisateurs. Il est donc temps de les appliquer.

A propos de Jscrambler

Jscrambler est une entreprise technologique principalement connue pour son obfuscateur JavaScript et son framework de surveillance éponyme. L'obfuscateur rend plus difficile la rétro-ingénierie du code côté client d'une application Web et la falsification de son intégrité.

Et vous ?

Qu'en pensez-vous ?
Quelles autres recommandations avez-vous pour sécuriser vos sites web ?

Voir aussi :

Des centaines de sites WordPress infectés par une porte dérobée récemment découverte, ce nouveau logiciel malveillant pour Linux exploite 30 vulnérabilités dans des plugins WordPress

La norme security.txt est désormais obligatoire pour les sites web du gouvernement néerlandais, le dispositif permet d'avertir rapidement les autorités compétentes en cas de cybermenaces