IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Trois recommandations pour sécuriser les sites web côté navigateur
Par Hervé Hulin

Le , par Hervé Hulin

105PARTAGES

8  0 
En 2022, 65 % des entreprises françaises auraient un site Internet. Une tendance qui devrait se poursuivre, à l’heure de la transformation numérique. Ces sites web sont une source d’informations précieuse. Or, seules 41% des entreprises mettent régulièrement à jour des correctifs de sécurité et 10% d’entre elles effectuent des audits. La sécurisation des sites est pourtant capitale afin de protéger les données sensibles, maintenir la confiance des utilisateurs et prévenir les attaques malveillantes.


Hervé Hulin, Directeur régional des ventes France de Jscrambler

Pour ce faire, les équipes de sécurité peuvent s’appuyer, en autres, sur trois des recommandations clés de l'Agence nationale de cybersécurité (ANSSI) qui préconise notamment de*:

Réduire la surface d'attaque et tenir à jour l'inventaire des actifs (R61)

La première étape consiste à comprendre le fonctionnement de l'application. Cela permet d'identifier plusieurs aspects importants de celle-ci, parmi lesquels un audit des“plugins”, services et dépendances utilisés ainsi que l'identification des points faibles du site web.

Grâce à ces informations, les équipes seront en mesure de créer un inventaire des actifs, qui devra être régulièrement revu. Elles auront également une meilleure appréhension de la création et l’exécution de certains processus. Certains des résultats de l’analyse pourraient également servir de lignes directrices/ ”workflows” sur la manière dont les actifs doivent être traités (quels sont ceux qui doivent être désactivés, mis à jour, segmentés, etc.).

La mise à jour régulière des actifs est nécessaire pour réduire intrinsèquement la surface d'attaque.

L'ANSSI insiste sur l'importance de maintenir une visibilité sur les différents composants d'une page web. Cet objectif peut être atteint en mettant en œuvre les pratiques suivantes :

a) Réaliser régulièrement un inventaire complet des actifs : la création et la mise à jour d'un inventaire des actifs, tels que les applications web, les bases de données, les “plugins” et les “frameworks” utilisés sur le site web, est essentielle. Cet inventaire offre une visibilité sur les composants qui constituent le site web, ce qui permet une meilleure gestion des vulnérabilités et des risques.

b) Supprimer les composants inutiles ou non utilisés : ils sont autant de points d'exploitation potentiels et accroissent la surface d’attaque. Les entreprises ont donc tout intérêt à passer régulièrement en revue les composants afin d'éliminer ceux qui sont inutiles ou inutilisés. C’est le cas par exemple de certains plugins ou scripts, pouvant présenter des risques pour la sécurité. Seuls les composants essentiels à la fonctionnalité du site doivent être conservés.

c) Utiliser un processus robuste de gestion des vulnérabilités : mettre en œuvre un processus permettant de surveiller, d'identifier et de traiter rapidement les vulnérabilités des composants du site web. Un processus efficace permet de rester informé des correctifs et des mises à jour de sécurité publiés par les fournisseurs de logiciels et de les appliquer rapidement pour minimiser le risque d'exploitation.

Tout cela permet d'atteindre un niveau de maturité plus élevé en matière de sécurité.

Mise à jour sécurisée des composants logiciels (R62)

Lors de la construction d’une page web, il n’est pas rare de recourir à divers composants fournis par de tiers. Pour limiter les vulnérabilités, ces éléments et les logiciels doivent être à jour. Il faut cependant aborder ces mises à jour avec prudence. En effet, certaines sont porteuses de contenus malveillants. Avant d’exécuter une quelconque actualisation, il faut prendre le temps de saisir les impacts qu’elle aura sur l'application. Si elle ne fonctionne pas ou se comporte mal, elle peut entraîner des problèmes de sécurité. Il est donc préférable de*:

a) Rester informé des mises à jour et des avis de sécurité : il est recommandé de suivre les notifications des éditeurs de logiciels, les avis de sécurité et les bases de données de vulnérabilités pour être au courant des problèmes de sécurité potentiels affectant les composants logiciels utilisés sur le site web. Il faut également consulter régulièrement des sources fiables d'informations sur la sécurité afin de prendre des mesures en temps utile.

b) Analyser les paquets de mise à jour avant de les appliquer : il convient d'examiner attentivement les modifications mises en œuvre dans le paquet. Pour éviter les mises à jour malveillantes ou incompatibles, il est important de vérifier l'authenticité et l'intégrité de la source. Il faut également évaluer la réputation du vendeur ou du développeur et vérifier si des problèmes de sécurité ont été signalés en rapport avec celle-ci.

c) Tester les mises à jour dans un environnement contrôlé avant de les déployer : ces tests réalisés dans un environnement hors production permettent d'identifier les éventuels problèmes de compatibilité ou les conséquences imprévues de la mise à jour. En les testant d'abord il est possible d’atténuer le risque de perturber la fonctionnalité du site web ou d'introduire de nouvelles vulnérabilités.

Éviter les modifications des composants centraux des logiciels tiers (R63)

L'ANSSI met en avant la bonne pratique consistant à éviter de modifier les composants centraux des logiciels tiers dans un souci de*:

a) Cohérence et maintenabilité : les logiciels tiers publient souvent des mises à jour et des correctifs pour remédier aux failles de sécurité et améliorer les fonctionnalités. La modification des composants de base de ces logiciels complique le processus de maintenance et pose des problèmes lors de l'application de futures mises à jour. Le fait de conserver les composants de base intacts garantit la compatibilité avec les versions futures et facilite la maintenance continue.

b) Limitation des risques de réimplémentation : si les composants de base sont modifiés, les mises à jour futures peuvent rendre ces modifications obsolètes ou incompatibles. La réimplémentation des modifications après une mise à jour peut prendre du temps, être sujette à des erreurs et peut même devenir impossible dans certains cas. Ne pas modifier les composants de base, garantit une mise à niveau plus simple et minimise les perturbations potentielles.

Longtemps négligée, la sécurisation côté navigateur joue un rôle important dans la protection des données alors qu’un nombre croissant d’acteurs exploitent ces failles. Cette tendance a attiré l’attention de l’ANSSI. En suivant ces trois recommandations, les équipes seront en mesure de mieux sécuriser la mise en production des contenus et composants. Cela facilitera également leur maintien en conditions opérationnelles. Toutes ces mesures ont vocation à renforcer les sécurisations des sites web côté navigateur pour protéger les données des utilisateurs. Il est donc temps de les appliquer.

A propos de Jscrambler

Jscrambler est une entreprise technologique principalement connue pour son obfuscateur JavaScript et son framework de surveillance éponyme. L'obfuscateur rend plus difficile la rétro-ingénierie du code côté client d'une application Web et la falsification de son intégrité.

Et vous ?

Qu'en pensez-vous ?
Quelles autres recommandations avez-vous pour sécuriser vos sites web ?

Voir aussi :

Des centaines de sites WordPress infectés par une porte dérobée récemment découverte, ce nouveau logiciel malveillant pour Linux exploite 30 vulnérabilités dans des plugins WordPress

La norme security.txt est désormais obligatoire pour les sites web du gouvernement néerlandais, le dispositif permet d'avertir rapidement les autorités compétentes en cas de cybermenaces

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de thelvin
Modérateur https://www.developpez.com
Le 13/07/2023 à 23:53
Ouais ya probablement moyen mais c'est trop limité. A quoi sert ton site de boutique en ligne si tout le monde se dit qu'il va plutôt aller chez ton concurrent que se forcer à utiliser ça ?

De toute façon, tout le monde veut être Amazon, pas le petit site que personne connaît.
2  0 
Avatar de Fagus
Membre expert https://www.developpez.com
Le 12/07/2023 à 23:11
Quelles autres recommandations avez-vous pour sécuriser vos sites web ?
Perso un site web statique pour un blog. Parce que : pas facile à pirater.

J'en parlais avec le DG d'une boîte de créations de sites, qui me répondit "oui, mais pour un site commercial c'est trop limité pour les stocks etc."

En y réfléchissant 2s, c'est pas un problème insoluble je pense. Soit, un site qui vend des trucs à mettre dans un panier. On pourrait très bien prégénérer en statique tout le site, sauf les champs style "nombre d'item en stock".
En javascript, on crée côté client un logiciel qui lit et écrit les cookies, contacte la base de données et met à jour le DOM. (logiquement ça doit déjà avoir été fait).

Si on ne garantit pas le contenu du panier avant paiement comme pas mal de sites, on peut même charger en binaire la présence ou pas de 500 item pour seulement 63 octets (500/8) en servant les 63 octets en statique mis à jour de temps en temps, pour accélérer encore le système en ne contactant la base qu'à l’authentification et au paiement...

De même, il y a des générateurs statiques qui fournissent un moteur de recherche statique via un index...
1  0 
Avatar de smarties
Expert confirmé https://www.developpez.com
Le 18/07/2023 à 17:00
Citation Envoyé par Fagus Voir le message
Perso un site web statique pour un blog. Parce que : pas facile à pirater.

J'en parlais avec le DG d'une boîte de créations de sites, qui me répondit "oui, mais pour un site commercial c'est trop limité pour les stocks etc."

En y réfléchissant 2s, c'est pas un problème insoluble je pense. Soit, un site qui vend des trucs à mettre dans un panier. On pourrait très bien prégénérer en statique tout le site, sauf les champs style "nombre d'item en stock".
En javascript, on crée côté client un logiciel qui lit et écrit les cookies, contacte la base de données et met à jour le DOM. (logiquement ça doit déjà avoir été fait).

Si on ne garantit pas le contenu du panier avant paiement comme pas mal de sites, on peut même charger en binaire la présence ou pas de 500 item pour seulement 63 octets (500/8) en servant les 63 octets en statique mis à jour de temps en temps, pour accélérer encore le système en ne contactant la base qu'à l’authentification et au paiement...

De même, il y a des générateurs statiques qui fournissent un moteur de recherche statique via un index...
C'est pas une mauvaise idée en soit mais si dans ton cas il y a beaucoup de produits et que tu changes ta chartre graphique, cela risque de prendre longtemps si la structure des pages change aussi.
Pour la recherche, difficile de faire quelque chose d'avancé sans être dynamique.
En blog, j'aime bien HuGo qui part de ce principe.

Sur ce principe, je pensais me faire prochainement une page d'accueil (recherche qui ouvre la page sur DuckDuckGo, Google, Maps, TheTVdb, TheMovieDB, Wikipedia et des liens favoris avec icône du site web vers ou ça pointe) qui me génère (via un cron un appel à un CLI que j’écrirais en RUST) des données statiques (flux RSS, programme TV via EPG, météo de mon/mes endroit(s) favoris, ...) avec un front HTML + JS et peut être WASM... je ne cherche pas du tout à recruter pour mon projet
1  0 
Avatar de Fagus
Membre expert https://www.developpez.com
Le 17/07/2023 à 17:35
Amazon ou les sites concurrents n'ont pas ce genre de problématique car ils ont du personnel dédié à la sécurité.

Disons qu'une pile technologique très simple et très sécurisée par défaut, ça peut rendre service à des TPE qui ont un site marchand, que ce soit un magasin qui fait aussi de la vente en ligne et qui ne veut pas devenir dépendant d'une plateforme, ou une boutique en ligne sur un segment très spécialisé avec une expertise que les grands magasins généralistes n'ont pas. Parfois, il n'y a qu'une ou deux personnes derrière un site, qui peut être pourtant connu dans un domaine spécialisé.
0  0