Lorsqu’il s’agit de nuire à leurs victimes potentielles, les cybercriminels font preuve d’une grande créativité. Qu’il s’agisse de spams, d’e-mails de phishing ou de téléchargements malveillants, les pirates informatiques et leurs semblables utilisent tous les moyens à leur disposition. Parmi les autres menaces relativement faciles à mettre en œuvre pour les pirates, il y a le cross-site scripting. Lisez la suite pour savoir de quoi il s’agit exactement, comment il fonctionne et comment vous pouvez vous en protéger. Découvrez également comment Avira Browser Safety peut vous aider à naviguer sur Internet en toute sécurité.
Qu’est-ce que le cross-site scripting (XSS) ?
Le terme cross-site scripting (XSS) désigne un type de cyberattaque dans laquelle les cybercriminels exploitent les failles de sécurité des sites web. Dans une attaque de type XSS, les attaquants injectent un code malveillant sur le site web concerné. Ce qui est particulier ici, c’est que le code n’est pas exécuté sur le serveur du site web visité, mais uniquement dans le navigateur du visiteur. Cet extrait de code est souvent inséré dans le champ de commentaire ou de recherche. Il devient dangereux dès que le navigateur le lit et l’exécute.
Le langage de programmation JavaScript joue ici un rôle crucial. Les développeurs s’en servent pour incorporer des éléments interactifs dans les sites web. Les cybercriminels exploitent les failles de sécurité des scripts tels que les champs de commentaires, les barres de recherche et les formulaires d’inscription pour injecter leur code dans le site web concerné. Cela transforme un site web inoffensif en une adresse nuisible pour les internautes. Les champs de saisie étant essentiellement manipulés, le cross-site scripting est globalement comparable à une injection SQL.
Comment fonctionne le cross-site scripting ?
Fondamentalement, le cross-site scripting fonctionne toujours en exploitant les failles de sécurité des sites web. L’attaquant identifie cette vulnérabilité et injecte son code (généralement via JavaScript). Dès que l’utilisateur accède au site web dans son navigateur, le code malveillant est activé.
Il existe trois types de cross-site scripting, chacun avec un fonctionnement différent.
XSS stocké
Avec le XSS stocké, également connu sous le nom de XSS persistant, les criminels introduisent clandestinement le code non seulement de manière temporaire, mais aussi de manière permanente sur le serveur du site web affecté. Dans la plupart des cas, il est injecté dans une base de données et exécuté chaque fois qu’un navigateur exécute cette section du site web.
Voici un exemple : Un cybercriminel laisse un commentaire, un message dans un forum ou un livre d’or, et stocke le code malveillant dans ce texte. Dès que la victime potentielle lit ce champ de texte dans son navigateur, le code est exécuté en arrière-plan sans qu’elle s’en aperçoive.
XSS réfléchi
Un autre type de cross-site scripting est appelé XSS réfléchi. Ici, ce n’est pas le site web ou un champ de saisie qui est manipulé, mais le lien qui mène au site web. Lorsque l’utilisateur clique sur le lien, le site web s’ouvre et le code est envoyé au serveur en tant qu’élément de l’URL. Le code est ainsi renvoyé directement au navigateur (le code est « réfléchi »), lequel l’exécute.
Voici un exemple : Un cybercriminel envoie à sa victime potentielle un lien vers un site web. L’URL du lien contient déjà un code malveillant qui il est exécuté immédiatement au moment de son ouverture dans le navigateur.
XSS basé sur le DOM
Dans les attaques XSS locales ou basées sur le DOM, les cybercriminels n’exploitent pas une faille de sécurité sur un serveur web, mais envoient le script malveillant par e-mail électronique à des victimes potentielles. Ce script malveillant est alors exécuté dans le navigateur sans que la personne ne s’en rende compte. Les cybercriminels utilisent des méthodes d’ingénierie sociale (comme le phishing ou l’usurpation) pour inciter des victimes peu méfiantes à se rendre sur un site web frauduleux.
Il suffit que vous cliquiez sur un lien prétendument fiable qui vous a été envoyé par e-mail électronique pour que votre navigateur intègre déjà le script malveillant (appelé JavaScript côté client). Votre navigateur accepte ce script infecté parce qu’il est considéré à tort comme faisant partie du code source de ce site web soi-disant digne de confiance et l’exécute et vous affiche la page web à laquelle vous avez accédé, bien qu’il s’agisse d’une version manipulée de celle-ci. Si votre navigateur dispose également de droits spéciaux sur votre ordinateur portable ou PC, les pirates peuvent même espionner et manipuler les données stockées localement sur votre appareil.
Voici un exemple : Un utilisateur ouvre une page via le lien malveillant. Le navigateur charge la page web et le code HTML associé. Le modèle d’objet du document (DOM) définit la structure de ce code HTML et donne à JavaScript la possibilité de modifier certains éléments de la page. Les cybercriminels modifient et manipulent ces éléments en y insérant un code malveillant. Il est ensuite récupéré lorsque la page est visitée, téléchargée par le navigateur et exécutée.
Quelles sont les conséquences des attaques XSS ?
Les conséquences des attaques par cross-site scripting peuvent varier. Dans tous les cas, le XSS représente une attaque contre la sécurité des applications web et de leurs utilisateurs.
Les conséquences les plus courantes du cross-site scripting sont les suivantes :
- Vol de données : Les données de connexion peuvent être volées dès qu’elles sont saisies, ce qui permet aux cybercriminels d’accéder aux comptes des utilisateurs.
- Prise de contrôle de session : En volant délibérément des cookies de session, les cybercriminels peuvent accéder à des données sensibles et personnelles. En s’emparant des cookies, les cybercriminels n’ont même pas besoin de se connecter eux-mêmes, puisque les victimes sont déjà connectées pendant leur session.
- Attaques de phishing : Les victimes saisissent des informations sensibles, qui sont ensuite envoyées directement aux cybercriminels, par le biais de formulaires de saisie usurpés ou manipulés.
- Manipulation de site web : Le code malveillant manipule l’apparence, le comportement et le contenu des sites web. C’est ainsi que les fausses informations et les liens nuisibles se répandent et nuisent à la réputation du site web.
- Malwares : Les cybercriminels diffusent des scripts malveillants, des spywares, et des malwares qui sont téléchargés automatiquement lorsque vous visitez le site web. Cela entraîne un vol de données ou un ralentissement, voire une paralysie des ordinateurs.
- Élévation non autorisée des privilèges : Un attaquant obtient des privilèges élevés sur une application web, ce qui lui permet de mieux contrôler cette application ou le système de la victime potentielle.
Comment repérer le cross-site scripting ?
Comme la plupart des attaques XSS passent inaperçues en arrière-plan, il est relativement difficile pour vous, en tant qu’internaute, de les remarquer. Heureusement, nous avons quelques conseils à vous donner lorsque vous surfez :
- Structure de l’URL : Avez-vous reçu un lien inhabituellement long ou complexe ? S’il contient également du code de type HTML, attention ! N’oubliez pas que les URL peuvent être obscurcis (rendus ambigus) par le spoofing. Copiez toujours au préalable les liens dans le presse-papiers et collez-les dans un éditeur de texte, par exemple, pour identifier la destination exacte.
- Comportement du site web : Méfiez-vous des fenêtres pop-up, des redirections ou des éléments de design sur des sites web familiers.
- Avertissements du navigateur : Les navigateurs Internet les plus récents intègrent des outils de protection contre les XSS. Maintenez toujours votre navigateur à jour afin qu’il affiche les avertissements appropriés ou qu’il bloque immédiatement les contenus suspects.
- Formulaires pré-remplis : Si vous voyez un contenu étrange dans le champ de recherche ou de commentaire, cela peut être le signe d’une tentative d’attaque XSS.
Comment se protéger du cross-site scripting ?
Tout d’abord : Les gérants de sites web doivent veiller à ce que toutes les entrées des utilisateurs soient filtrées et nettoyées afin d’empêcher la transmission de codes malveillants, par exemple via des liens. Une Content Security Policy (ou CSP) peut également être utile en déterminant quel contenu peut être chargé et exécuté sur un site.
En tant que visiteur, vous pouvez également contribuer à vous protéger contre les attaques XSS. En effet, l’utilisateur (c’est-à-dire vous) reste le plus grand point faible lors de l’utilisation d’appareils et d’applications numériques.
- Mettre à jour votre navigateur : Maintenez votre navigateur Internet à jour pour combler les failles de sécurité potentielles et bénéficiez toujours des dernières fonctionnalités de sécurité.
- Lire attentivement les e-mails : Si vous recevez un e-mail sans message d’accueil personnalisé et avec de nombreuses fautes d’orthographe, soyez très prudent. Vérifiez toujours l’identité de l’expéditeur et ne cliquez jamais sur des liens contenus dans des e-mails que vous n’attendiez pas.
- Vérifier les liens : Ne cliquez jamais sans réfléchir sur des liens inconnus ou suspects. Avant de cliquer, passez le pointeur de votre souris sur le lien pour voir l’URL complète dans votre navigateur ou votre programme de messagerie.
- Gestionnaire de mots de passe : De nombreuses failles de sécurité sont cachées dans les champs de saisie. Un gestionnaire de mots de passe ne remplit automatiquement vos données que sur des sites web légitimes. Si l’outil ne remplit pas vos données automatiquement, cela peut être un signe révélateur d’une menace potentielle.
- Éviter les sites web non sécurisés : Dans la mesure du possible, ne visitez que des sites web qui utilisent le protocole HTTPS. Sur ces sites web, toutes les communications sont chiffrées, ce qui rend plus difficile la manipulation du trafic de données par les cybercriminels. Ceci est particulièrement important lorsqu’il s’agit de données sensibles (par exemple, banque en ligne, achats, etc.).
- Scripts en bloc : Vous pouvez également utiliser un plugin qui bloque l’exécution de JavaScript sur des sites web inconnus ou dangereux. Cependant, vous courez le risque de ne pas pouvoir afficher ces sites web et interagir avec eux comme prévu.
- Vider les cookies de votre navigateur : Supprimez régulièrement les cookies. Déconnectez-vous toujours des sites web contenant des données sensibles dès que vous n’avez plus besoin de les utiliser. Cela empêche les attaquants d’accéder aux sessions.
Vous devez également informer les gérants de sites web de toute activité inhabituelle. Si vous remarquez des fenêtres pop-up douteuses ou si vous recevez un lien compromis, votre connaissance peut protéger d’autres victimes potentielles.
Surfez en toute sécurité sur Internet, avec Avira Browser Safety
Vous savez désormais à quoi vous attendre en matière de cross-site scripting. Si vous souhaitez porter votre sécurité Internet à un niveau supérieur, utilisez Avira Browser Safety. Ce plugin gratuit protège votre navigateur des sites web malveillants, bloque les publicités infectées et empêche les tiers de vous suivre à la trace.
Il détecte et supprime également les programmes potentiellement indésirables (PPI) qui se sont joints à vos téléchargements. Avec Avira Browser Safety, vous réduisez la surface d’attaque des cybercriminels.
Cet article est également disponible en: AnglaisAllemandItalien