Analyse de sécurité : dangers liés à l’utilisation de scripts externes sur votre système

  • Les scripts externes présents sur des sites web légitimes, dans des publicités et des documents constituent un vecteur essentiel pour l'exécution de code malveillant sans accès au disque.
  • Des langages comme JavaScript et PowerShell permettent les attaques XSS, sans fichier et par déplacement latéral lorsqu'ils sont combinés à des permissions excessives et à une mauvaise configuration.
  • Pour atténuer ces risques, il est nécessaire de valider les entrées, de limiter les scripts tiers, de renforcer l'utilisation des interpréteurs et de protéger les cookies, les jetons et les données sensibles.
  • La combinaison de bonnes pratiques de développement, de la formation des utilisateurs et des outils SAST/SCA, du WAF et d'une surveillance continue est essentielle pour maîtriser les risques.
Joaquin Romero

Minutes 15

Analyse de sécurité

Lorsque vous travaillez quotidiennement avec du code, il est très facile de se concentrer uniquement sur son bon fonctionnement et d'oublier un élément clé : Que se passe-t-il lorsque votre application commence à communiquer avec du code que vous ne contrôlez pas ?Scripts tiers, bibliothèques externes, publicités, widgets d'analyse, intégrations de fournisseurs… tout cela est pratique pour le développeur, mais ouvre également la porte à certaines des attaques les plus dangereuses et les plus difficiles à détecter.

Dès l'instant où vous autorisez l'exécution d'un script externe dans votre navigateur ou sur votre système, vous accordez une confiance immense à un code que vous n'avez pas écrit. Et les attaquants le savent. Les scripts malveillants et les attaques « sans fichier » sont devenus l'un des vecteurs privilégiés. Le vol de données, l'installation de logiciels malveillants en mémoire ou l'infiltration de votre infrastructure avec des traces minimales sur le disque ou via des pièces jointes « suspectes » sont autant de risques à prendre en compte. Une compréhension approfondie de ces risques est essentielle pour protéger vos applications et systèmes et éviter qu'ils ne deviennent des cibles faciles.

Qu'est-ce qu'un script externe exactement (et pourquoi est-il si sensible) ?

En résumé, un script est un fragment de code interprété par un autre programme: un navigateur, l'interpréteur PowerShell, le moteur VBScript, un interpréteur Python, etc. Contrairement à un exécutable compilé, un script est généralement du texte brut (bien que souvent ofuscado consciemment), et est exécutée à la volée par un interprète déjà présent dans le système.

Lorsque nous parlons de scripts externes dans le contexte de la sécurité, nous faisons principalement référence à deux scénarios : code provenant du web (JavaScript, scripts intégrés dans les PDF, macros Office, HTA, etc.) et code de script qui s'exécute sur le système lui-même (PowerShell, bash, VBScript, Python, etc.) piloté par l'utilisateur, par un autre programme ou via une faille de sécurité.

La beauté (et le problème) de ces scripts réside dans le fait que Ils utilisent des outils parfaitement légitimesVotre navigateur doit exécuter JavaScript ; Windows intègre PowerShell et WMI ; de nombreuses entreprises automatisent l’administration à l’aide de scripts. Un attaquant n’a qu’à infiltrer ce processus et réutiliser les mêmes fonctionnalités que vous, mais à des fins bien moins nobles.

Article connexe:
FileFort Backup, créez une sauvegarde de tous les documents, photos et dossiers de musique sur le serveur FTP

Sites légitimes compromis : le côté le plus insidieux du problème

L'un des vecteurs d'attaque les plus dangereux aujourd'hui est l'utilisation de scripts malveillants intégrés à des sites web parfaitement légitimes dont la sécurité a été compromise. L'utilisateur accède à son média préféré, à sa banque ou à un site d'actualités et, sans qu'il y soit pour rien, son navigateur reçoit et exécute du code injecté par un tiers.

Ce code se déroule généralement obscurci et bien camouflé parmi les bibliothèques légitimes, les publicités ou les widgets tiers. Dans de nombreux cas, cela fait partie de exploiter les kits (Neutrino, Angler à son époque, et d'autres plus modernes) capables de détecter automatiquement les vulnérabilités dans le navigateur, dans les plugins (Flash, Java, PDF) ou même dans le système d'exploitation et les applications auxiliaires.

Lorsque la combinaison adéquate de faille de sécurité et d'autorisations se produit, le script télécharge et exécute un charge utileRansomware, chevaux de Troie, bots, mineurs de cryptomonnaie ou tout autre logiciel malveillant susceptible d'intéresser l'attaquant. Tout cela peut arriver. sans que l'utilisateur clique sur quoi que ce soit de particulièrement inhabituelau-delà du simple chargement d'une page avec une bannière ou un script compromis.

Malvertising : la publicité comme cheval de Troie

Les campagnes de malvertising Il s'agit d'un exemple assez clair d'utilisation abusive de scripts externes. L'attaquant n'a pas besoin de pirater directement un site web important : il suffit de introduire des publicités malveillantes dans le réseau publicitaire Ce site web utilise des publicités contenant des scripts qui redirigent vers des pages renfermant des kits d'exploitation ou qui exécutent du code directement dans le navigateur.

Des cas ont été recensés dans des pays de premier plan, où Les publicités injectées exécutaient des kits d'exploitation tels qu'Angler ou Neutrino.Dans certains cas, un simple clic sur une bannière suffisait à l'attaquant pour prendre le contrôle de l'appareil, notamment si l'utilisateur naviguait avec des versions anciennes des plugins ou du navigateur lui-même.

Le problème ici est celui de la confiance transitive : le site principal délègue à scripts et contenus tiers (Réseaux publicitaires, fournisseurs d'analyse, widgets sociaux) qui se chargent dans le même contexte de sécurité que le reste de la page. Si l'un de ces liens est rompu, un attaquant peut injecter le code de son choix avec les mêmes privilèges que le code légitime.

Scripts côté client : puissance et surface d’attaque

La programmation côté client (JavaScript, TypeScript, HTML5, CSS et autres langages web) est le moteur du web moderne. Grâce à elle, nous avons Formulaires dynamiques, SPA, cartes interactives, tableaux de bord en temps réel, etc. Mais ce pouvoir a un revers : ce code s'exécute dans le navigateur de chaque utilisateur, entièrement visible et modifiable.

  Bankinter déploie l'IA générative de Microsoft pour l'ensemble de ses effectifs.

Cela signifie que tout script côté client est une cible directe pour l'attaquantVous pouvez l'inspecter, le décompiler, le manipuler lors de l'exécution, intercepter les appels d'API, ou même injecter votre propre code en exploitant les vulnérabilités XSS, CSRF ou les mauvaises implémentations de CORS et CSP.

Les problèmes typiques associés aux scripts côté client non sécurisés incluent : XSS (Cross-Site Scripting)Falsification de requête intersite (CSRF), exposition de jetons et de données sensibles sur le frontend, injections de code via le DOM et la manipulation directe de l'état de l'application depuis la console du navigateur.

Analyse de sécurité

XSS : Quand votre propre interface se retourne contre vous

Les attaques XSS (Cross-Site Scripting) restent en tête de liste des vulnérabilités web. Le concept est simple : L'attaquant parvient à faire en sorte que l'application distribue à d'autres utilisateurs un script qu'il contrôle.Ce script s'exécute dans le navigateur des victimes avec les mêmes autorisations que le code du site web légitime.

Les vecteurs typiques sont les champs de commentaires, les profils utilisateurs, les paramètres des URL ou toute donnée que l'application reflète sans nettoyage ni codage appropriéSi ce résultat est inséré tel quel dans le HTML, ou pire encore, dans des attributs comme onclick ou par innerHTML « L'attaquant peut glisser une étiquette en douce. » <script> ou une charge utile plus élaborée.

Avec une vulnérabilité XSS en main, l'attaquant peut voler les cookies et les jetons de session, simuler des actions au nom de l'utilisateur, déployer des formulaires d'hameçonnage qui imitent votre interface, modifier ce que l'utilisateur voit, ou même enchaîner des attaques pour accéder au système dorsal si l'utilisateur touché est un administrateur.

Scripts dans Office, PDF et autres documents

Les scripts externes n'arrivent pas uniquement via les navigateurs. Les attaquants exploitent cette faille depuis des années. Macros et mécanismes de script dans les documents Office, les PDF et autres formats apparemment inoffensifsUn courriel contenant une pièce jointe qui « doit être ouverte » reste une opportunité très lucrative.

Dans le cas d'Office, la méthode classique consiste en un document contenant une macro VBA obscurcie, ce qui comporte également des risques liés à Scripts OfficeLa macro s'exécute lorsque l'utilisateur active du contenu et invoque généralement Scripts PowerShell, WScript, HTA ou autres composants système Pour télécharger et exécuter le code malveillant en mémoire, de nombreuses familles de rançongiciels s'introduisent dans le système de cette manière.

Les PDF, en revanche, peuvent contenir JavaScript intégré que certains lecteurs exécutent. Si le lecteur ou le plugin de navigateur présente des vulnérabilités, ce script peut les exploiter pour exécuter du code. Là encore, aucun fichier .exe n'est nécessaire ; tout repose sur des scripts et des exploits présents dans des composants déjà installés.

PowerShell, bash et autres : scripts système exécutés sans accès au disque

Dans un environnement système, des langages comme PowerShell, VBScript, bash, Python ou Perl sont des outils d'administration extrêmement puissants. C'est précisément pourquoi, Les groupes de menaces avancés et les logiciels malveillants sans fichier les adorent.Au lieu de déposer un fichier exécutable, ils injectent ou téléchargent simplement un script qui s'exécute entièrement en mémoire.

PowerShell en est un exemple classique. Il est utilisé quotidiennement pour automatiser les tâches informatiques, mais aussi pour… charger des DLL malveillantes en mémoire, extraire des identifiants, se déplacer latéralement sur le réseau ou communiquer avec un serveur C2 chiffréTout ceci est réalisé en utilisant uniquement des fonctions standard, souvent obscurcies, et sans laisser de trace de logiciel malveillant identifiable sur le disque qu'un antivirus traditionnel puisse détecter.

Il en va de même pour les scripts Bash ou Python sous Linux et pour AppleScript sous macOS. Une simple commande copiée depuis un forum ou un script téléchargé depuis un dépôt non fiable peut s'exécuter sur votre système. bien plus qu'il n'y paraît, de l'ouverture des portes arrière à la modification des paramètres critiques.

Attaques sans fichier et contournement des logiciels antivirus classiques

Un avantage clé pour l'attaquant est que les scripts lui permettent de lancer des attaques. pratiquement sans rien écrire sur le disqueL'exploit arrive par le biais du web, d'un e-mail ou d'un protocole RDP, exécute une commande PowerShell ou JavaScript qui télécharge du code supplémentaire directement en mémoire, l'injecte dans un processus légitime, et c'est tout. Au redémarrage, la plupart des traces disparaissent.

Selon des études récentes, Jusqu'à 40 % des attaques observées sont désormais « sans fichier » ou fortement basées sur des scripts.La charge utile malveillante réside en mémoire, utilise des processus signés par Microsoft ou d'autres fournisseurs et s'appuie sur des outils légitimes tels que mshta.exe, wscript.exe, powershell.exe, rundll32.exe, etc.

Dans ce scénario, les produits qui dépendent presque exclusivement de signatures sur les fichiers du disque Ils jouent en position de désavantage ; il est pertinent d'examiner des comparaisons telles que… Comparaison de sécurité de Windows Defender Pour comprendre les limites et les alternatives, la détection repose ensuite sur des techniques heuristiques et l'analyse comportementale : chaînes de commandes suspectes, appels à des interpréteurs avec des paramètres obscurcis, connexions réseau inhabituelles, utilisation d'API sensibles, etc.

Autorisations excessives et mauvaise configuration : les meilleurs amis des scripts malveillants

Un aspect souvent sous-estimé est l'impact de comptes dotés de privilèges excessifsDans de nombreux environnements Windows, la plupart des utilisateurs travaillent encore en tant qu'administrateurs locaux ou avec le Contrôle de compte d'utilisateur (UAC) à des niveaux de privilèges extrêmement bas. Si un script malveillant s'exécute avec ces identifiants, il peut librement installer des pilotes, des services, modifier le registre ou désactiver les contrôles de sécurité.

  Euro-Office, la suite bureautique souveraine qui vise à transformer le bureau numérique européen

Quelque chose d'aussi simple que Configurez le contrôle de compte d'utilisateur (UAC) à un niveau moyen/élevé et travaillez avec des comptes sans privilèges d'administrateur. Pour les tâches quotidiennes, cela réduirait considérablement l'impact de nombreux scripts. Même si le script s'exécute, sa capacité à nuire est fortement limitée s'il ne peut pas facilement élever ses privilèges.

Il en va de même pour les serveurs, les conteneurs et les environnements cloud : l’exécution de services tels que rootL'octroi de permissions d'écriture inappropriées ou le partage de clés et de jetons entre environnements ouvre un vaste champ de possibilités. Tout script compromis peut pivoter bien au-delà de son périmètre initial.

Principaux dangers liés à l'utilisation de scripts externes sur votre système

Tout ce qui précède se traduit par une série de risques bien concrets lorsque votre application ou infrastructure dépend de scripts externes :

  • Exécution de code arbitraire (RCE) : Grâce aux failles XSS, aux macros, aux scripts PowerShell, aux HTA ou aux exploits présents dans les lecteurs et les navigateurs, l'attaquant peut exécuter des commandes avec les privilèges de l'utilisateur, voire du système.
  • Vol de données et d'identifiants : Les scripts du navigateur peuvent lire les cookies. stockage local et les réponses API ; les scripts système peuvent collecter les mots de passe, les jetons, les clés API, les fichiers sensibles et les transférer vers un serveur distant. Pour détecter les fuites de comptes, il est conseillé Vérifiez si vos comptes ont été compromis. suite à un soupçon.
  • Détournement de session et d'identité : Une faille XSS bien implantée ou un script tiers compromis peuvent voler des jetons de session, des JWT et des cookies. non protégé voire intercepter des identifiants dans de faux formulaires.
  • Mouvement latéral et persistance : Une fois à l'intérieur, les scripts d'administration (PowerShell, WMI, bash) permettent d'explorer le réseau, de se propager à d'autres machines, d'installer des portes dérobées et de maintenir un accès permanent. Consultez les guides pour plus d'informations. gestion des menaces persistantes contribue à atténuer ces scénarios.
  • Minage de cryptomonnaies et abus des ressources : Des scripts malveillants sur des sites web ou des extensions injectées peuvent utiliser le processeur et la carte graphique de vos utilisateurs ou de vos serveurs pour miner des cryptomonnaies sans votre consentement, ce qui dégrade les performances et réduit la durée de vie du matériel.
  • Défiguration de sites web et manipulation de contenu : Les failles XSS, les plugins compromis ou les scripts externes modifiés peuvent altérer ce que l'utilisateur voit, insérer de la publicité, du phishing ou du contenu frauduleux sur votre propre site.
  • Évasion des contrôles et analyses médico-légales complexes : Comme elles s'exécutent en mémoire et utilisent des outils légitimes, les attaques basées sur des scripts laissent moins de traces claires sur le disque et dans les journaux, ce qui les rend plus difficiles à détecter et à analyser ultérieurement.

Bonnes pratiques pour travailler en toute sécurité avec des scripts externes

Il ne s'agit pas de diaboliser tous les scripts externes, car la réalité est que La plupart des applications modernes s'appuient sur elles.L'objectif est de minimiser la confiance implicite et de mettre en œuvre des contrôles raisonnables à tous les points critiques.

Configurer Windows 11 pour la sécurité
Article connexe:
Comment sécuriser Windows 11 : conseils et paramètres avancés

1. Renforcer la sécurité de l'interface et contrôler ce qui est exécuté

Côté client, l’objectif est de minimiser les dommages qu’un script malveillant, qu’il soit le vôtre ou celui d’un tiers, peut causer :

  • Valide et désinfecte les entrées côté client et serveur. Les filtres côté client améliorent l'expérience utilisateur, mais la sécurité réelle repose sur le serveur. Néanmoins, le filtrage, lorsqu'il est possible, contribue à atténuer de nombreuses vulnérabilités XSS et d'injection triviales.
  • Échappez et encodez toujours la sortie. Toutes les données utilisateur affichées en HTML doivent être correctement échappées. Évitez de générer du HTML via innerHTML avec des cordes brutes.
  • Évitez les scripts en ligne. N'insérez pas de JavaScript directement dans les attributs ou blocs HTML. <script> Utilisez les fichiers intégrés si possible. Privilégiez les fichiers externes et tirez parti des politiques de sécurité du contenu plus strictes.
  • Mettez en œuvre une CSP correcte. Définissez une politique de sécurité du contenu qui limite les sources de téléchargement des scripts et interdit… eval et bloc inline-script sauf en cas de stricte nécessité.
  • Utilisez des cookies sécurisés avec HttpOnly et SameSite. Pour les sessions, marquez les cookies comme Secure, HttpOnly y SameSite=Lax o Strict pour les protéger contre les attaques XSS et CSRF.
  • Appliquer les en-têtes de sécurité. HSTS, X-Content-Type-Options, X-Frame-Options et des outils similaires permettent de fermer les failles de sécurité exploitées par de nombreuses attaques basées sur des scripts.

2. Renforce la gestion des scripts côté client

Outre la logique de l'application, les dépendances front-end doivent être surveillées :

  • Réduisez au minimum le nombre de scripts tiers. Chaque widget, CDN ou SDK supplémentaire représente une nouvelle surface d'attaque. Ne les chargez que s'ils sont absolument nécessaires.
  • Définir les versions et utiliser l'intégrité des sous-ressources (SRI). Lors du chargement de scripts depuis des CDN, utilisez des attributs integrity y crossorigin afin de s'assurer que le contenu n'a pas été modifié.
  • Maintenez vos bibliothèques et frameworks à jour. De nombreuses vulnérabilités XSS et autres failles similaires sont corrigées dans les versions plus récentes de React, Angular, Vue, jQuery, etc. Le maintien d'anciennes versions laisse des vulnérabilités connues ouvertes.
  • Vérifiez régulièrement vos extensions et plugins. Aussi bien dans les navigateurs d'entreprise que sur les serveurs (plugins CMS), il supprime tout ce qui n'est pas essentiel et surveille les alertes de sécurité.
  Microsoft complique le téléchargement des ISO de Windows 11 avec Rufus

3. Assurez-vous de l'utilisation de scripts dans le système (PowerShell, bash…).

Dans le domaine des systèmes d'exploitation, la clé réside dans appliquer le principe du moindre privilège et surveiller les comportements:

  • Cela limite qui peut faire quoi. Segmentez les utilisateurs selon leurs besoins : ceux qui utilisent des scripts quotidiennement, ceux qui les utilisent occasionnellement et ceux qui ne les utilisent jamais. Bloquez les interprètes inutiles sur les profils qui n’en ont pas besoin.
  • Restreint PowerShell et d'autres interpréteurs. Utilisez une stratégie d'exécution, AppLocker ou des alternatives équivalentes pour n'autoriser que les scripts signés ou les scripts situés dans des chemins contrôlés.
  • Les macros sont désactivées par défaut. Elles ne devraient être activées que pour les utilisateurs et les documents qui en ont besoin, et de préférence signées numériquement.
  • N’utilisez les comptes d’administrateur que si cela est absolument nécessaire. Effectuez les tâches quotidiennes avec les comptes standards et réservez les identifiants privilégiés aux tâches spécifiques et contrôlées.
  • Surveillance des commandes suspectes. Séquences PowerShell avec des chaînes Base64, téléchargements depuis des domaines inhabituels, exécution de mshta, wscript o rundll32 Les événements anormaux sont des signes clairs qu'il y a un problème.

4. Protéger les données sensibles sur le client et le serveur

Les scripts étant le véhicule, les données sont la récompense. Rendez la tâche difficile :

  • Évitez d'exposer les jetons et les clés côté client. Ne dissimulez pas de données sensibles dans du JavaScript, des variables globales ou du code statique. Tout est visible côté client.
  • Chiffrez correctement et utilisez des clés robustes. Pour les données en transit, utilisez un protocole TLS bien configuré ; pour les données au repos, utilisez les algorithmes et modes actuels (AES-GCM, Argon2/bcrypt pour les mots de passe, etc.).
  • Utilisez correctement l'authentification par jeton. Les JWT et les protocoles similaires doivent être signés avec des clés sécurisées, avoir une date d'expiration raisonnable et ne pas utiliser d'algorithmes non sécurisés. Utilisez toujours HTTPS.
  • N’utilisez la cryptographie en boîte blanche ou l’obfuscation qu’en tant que couche supplémentaire. L'obfuscation des scripts rend la rétro-ingénierie plus difficile, mais ne remplace pas une conception sécurisée.

5. Outils d'aide à la décision : ne cherchez pas à tout voir « à l'œil nu ».

Compte tenu de la quantité de code et de scripts gérés par tout système moderne, tenter de tout examiner manuellement est irréaliste. L'approche raisonnable est la suivante : intégrer les outils de sécurité dans le cycle de développement et d'exploitation:

  • Analyseurs statiques (SAST) et linters de sécurité. ESLint, avec ses plugins de sécurité, Semgrep, etc., peut détecter des schémas dangereux tels que l'utilisation de eval, concaténation non sécurisée de commandes HTML ou shell.
  • Scanners de vulnérabilité et SCA. Ils analysent vos dépendances (frontend et backend) à la recherche de bibliothèques présentant des CVE connues et recommandent des versions sûres.
  • WAF et surveillance du trafic. Un bon pare-feu d'application web peut bloquer à la volée les tentatives d'attaques XSS et d'injection classiques, et vous donner une visibilité sur les comportements inhabituels ; il est judicieux de le compléter par Règles personnalisées dans le pare-feu.
  • Outils de trempe et râpe. L'autoprotection en cours d'exécution, l'obfuscation, la protection contre la falsification et la surveillance de l'intégrité ajoutent des couches de défense aux applications clientes hautement exposées.
  • Plateformes de sécurité conviviales pour les développeurs. Les solutions modernes intègrent SAST, SCA, l'analyse des secrets et la configuration CI/CD, offrant Détection précoce et souvent correction automatique des vulnérabilités liées aux scripts et aux dépendances.

Changements organisationnels : la sécurité des scripts ne concerne pas uniquement les informaticiens.

Aussi parfait que soit votre code, si l'organisation continue d'ouvrir les pièces jointes sans réfléchir ou d'exécuter chaque script reçu par courriel, vous passerez votre temps à éteindre des incendies. C'est indispensable. former les utilisateurs et les équipes Concernant les risques spécifiques liés aux scripts :

  • Formation périodique. Que les gens savent reconnaître les courriels suspects, les macros inattendues, les fenêtres contextuelles étranges et les scripts de forum « magiques ».
  • Des règles d'utilisation claires. Quels logiciels peuvent être installés, où télécharger les scripts, comment les macros sont gérées, qui peut utiliser PowerShell interactif, etc.
  • Segmentation du réseau et des périphériques. Si un script parvient à compromettre un ordinateur, celui-ci ne devrait pas avoir d'accès direct à l'ensemble du réseau interne.
  • Surveillance et intervention 24h/24 et 7j/7. Plus tôt vous détectez un script malveillant en cours d'exécution, moins il aura de temps pour déplacer, chiffrer ou exfiltrer des données.

En résumé, les scripts externes sont un outil puissant et absolument nécessaire dans le développement moderne, mais ils constituent également un point d'entrée privilégié pour les attaquants, surtout lorsqu'ils sont combinés à des sites web légitimes compromis, à des publicités malveillantes et à des environnements mal configurés.

Article connexe:
OSX Mavericks ne vous permettra pas d'installer une certaine application sur votre Mac, apprenez comment le faire

Réduire les autorisations, contrôler le code téléchargé, surveiller les comportements et soutenir tout cela avec des outils et des processus de sécurité intégrés au cycle de développement Cela fait toute la différence entre une infrastructure qui « fonctionne » et une infrastructure qui peut continuer à fonctionner même lorsque quelqu'un tente de la détruire. Partagez l'information et les autres utilisateurs en apprendront davantage sur le sujet.