Un nouveau rapport du spécialiste de la protection des applications Web, Source Defense, met en évidence le risque que représente l'utilisation de codes tiers et de codes de quatrième partie sur les sites Web des entreprises.
La chaîne d'approvisionnement numérique signifie que des scripts et du code hautement dynamiques et imprévisibles, provenant de tiers et d'ailleurs, imprègnent chaque aspect de la présence d'une entreprise sur le Web. Ce shadow code a conduit à des brèches très médiatisées, notamment le piratage de British Airways en 2018.
Le rapport montre une moyenne de 15 scripts générés en externe sur chaque site, avec une moyenne de 12 scripts spécifiquement sur les pages sensibles. Les services financiers sont le secteur le plus exposé, avec près de 60 % de scripts supplémentaires en moyenne résidant sur les pages sensibles, et le double du nombre par page dans l'ensemble, avec le triple de scripts de quatrième partie.
De vastes bibliothèques de scripts tiers sont disponibles gratuitement, ou à faible coût, à différents endroits et sont populaires car elles permettent aux équipes de développement d'ajouter rapidement des fonctionnalités avancées aux applications sans avoir à les créer et à les maintenir. Cependant, ces scripts contiennent aussi souvent du code provenant de parties supplémentaires plus éloignées de l'organisation qui les déploie.
Le rapport révèle que 49 % des sites analysés contenaient du code externe capable de récupérer les données saisies dans les formulaires et d'"écouter" les clics des utilisateurs, et que plus d'un site sur cinq contenait du code externe capable de modifier les formulaires.
En moyenne, un script sur quatre présentait du code de quatrième partie, de même qu'un script sur cinq sur des pages individuelles. Le nombre de scripts était cependant beaucoup plus important sur les pages sensibles, avec une moyenne de 12 scripts externes en contact avec tout, des informations d'identification aux détails financiers en passant par les comptes.
Source : Source Defense
Et vous ?
Trouvez-vous ce rapport pertinent ?
Voir aussi :
Les risques liés à la diffusion de logiciels malveillants, aux plugins tiers et aux charges de travail exposées dans le cloud sont en augmentation, selon une nouvelle étude de Netskope
69 % des cadres techniques estiment que le shadow IT est un problème de sécurité majeur lié à l'adoption du SaaS, selon Torii
CybelAngel permet désormais de découvrir les risques cachés des shadow IT, grâce à une nouvelle mise à jour de son service, CybelAngel Asset Discovery and Monitoring
Le shadow code des sites web représente un risque majeur pour les entreprises : 49 % des sites contiennent du code externe capable de récupérer les données saisies dans les formulaires
Le shadow code des sites web représente un risque majeur pour les entreprises : 49 % des sites contiennent du code externe capable de récupérer les données saisies dans les formulaires
Le , par Sandra Coret
Une erreur dans cette actualité ? Signalez-nous-la !