Un nouveau rapport du spcialiste de la protection des applications Web, Source Defense, met en vidence le risque que reprsente l’utilisation de codes tiers et de codes de quatrime partie sur les sites Web des entreprises.
La chane d’approvisionnement numrique signifie que des scripts et du code hautement dynamiques et imprvisibles, provenant de tiers et d’ailleurs, imprgnent chaque aspect de la prsence d’une entreprise sur le Web. Ce shadow code a conduit des brches trs mdiatises, notamment le piratage de British Airways en 2018.
Le rapport montre une moyenne de 15 scripts gnrs en externe sur chaque site, avec une moyenne de 12 scripts spcifiquement sur les pages sensibles. Les services financiers sont le secteur le plus expos, avec prs de 60 % de scripts supplmentaires en moyenne rsidant sur les pages sensibles, et le double du nombre par page dans l’ensemble, avec le triple de scripts de quatrime partie.
De vastes bibliothques de scripts tiers sont disponibles gratuitement, ou faible cot, diffrents endroits et sont populaires car elles permettent aux quipes de dveloppement d’ajouter rapidement des fonctionnalits avances aux applications sans avoir les crer et les maintenir. Cependant, ces scripts contiennent aussi souvent du code provenant de parties supplmentaires plus loignes de l’organisation qui les dploie.
Le rapport rvle que 49 % des sites analyss contenaient du code externe capable de rcuprer les donnes saisies dans les formulaires et d' »couter » les clics des utilisateurs, et que plus d’un site sur cinq contenait du code externe capable de modifier les formulaires.
En moyenne, un script sur quatre prsentait du code de quatrime partie, de mme qu’un script sur cinq sur des pages individuelles. Le nombre de scripts tait cependant beaucoup plus important sur les pages sensibles, avec une moyenne de 12 scripts externes en contact avec tout, des informations d’identification aux dtails financiers en passant par les comptes.
Source : Source Defense
Et vous ?
Trouvez-vous ce rapport pertinent ?
Voir aussi :