Il vous est peut-être déjà arrivé qu’après avoir cliqué sur un lien apparemment anodin, votre ordinateur plante ou que vous perdez le contrôle de votre appareil. Ces expériences frustrantes sont souvent le résultat d’une attaque par XSS (Cross-Site Scripting), l’une des menaces les plus courantes sur le web.
Selon le rapport de vulnérabilité 2024 de la plateforme de cybersécurité Edgescan, l’attaque XXS stocké est la deuxième vulnérabilité de sécurité de gravité élevée ou critique la plus répandue (10,3 %), juste après l’attaque par injection SQL (19,47 %). Découvrez les risques liés à l’attaque XSS et comment vous pouvez mettre en place des mesures de protection adéquates.
Qu’est-ce qu’une attaque par XSS ?
Une attaque par XSS est une attaque qui consiste à injecter des scripts malveillants dans les pages dynamiques sur les sites web, les réseaux sociaux, les plateformes ou les applications. Contrairement aux autres cyberattaques, comme le spear phishing, l’attaque DDoS, ou encore l’attaque Zero day, qui visent un réseau ou une entreprise en particulier, l’attaque XSS cible directement les utilisateurs de la plateforme. Ces derniers, pensant que la plateforme est sûre, ne se doutent pas d’une possibilité d’attaque. Une fois le code exécuté, les cybercriminels peuvent voir les cookies et les données sensibles ou propager un malware.
L’attaque par XSS est une des attaques les plus difficiles à détecter, car les codes malveillants sont intégrés dans des éléments en apparence inoffensifs. Elles peuvent se dissimuler sur les forums, dans les champs de saisie ou encore dans des liens cliquables. Les cybercriminels utilisent généralement JavaScript, mais ils peuvent également utiliser d’autres langages côté client comme HTML ou CSS qui s’exécutent sur le navigateur web de l’utilisateur et non sur le serveur qui l’héberge.
Pour prévenir les attaques XSS, les experts en cybersécurité testent les plateformes en tentant de détecter une faille XSS avant que les cybercriminels ne puissent l’exploiter.
Quels sont les risques d’une attaque par XSS ?
En fonction du code malveillant injecté, une attaque XSS réussie peut entraîner plusieurs actions, notamment :
- Accéder à vos données personnelles : les informations que vous saisissez, y compris vos identifiants et mots de passe, vos cookies et votre historique de navigation.
- Voler vos tokens (jetons de session) pour pouvoir se connecter à votre compte sans avoir besoin de vos identifiants et mots de passe et usurper votre identité.
- Altérer ou supprimer le contenu de la page pour vous tromper ou vous piéger : le script peut vous faire croire que votre compte est compromis.
- Propager des logiciels malveillants, planter le navigateur et même prendre le contrôle de l’appareil.
Protégez vos données sensibles avec CyberGhost VPN. Le chiffrement VPN crypte vos données de sorte qu’elles soient illisibles pour les tiers, même en cas d’attaque XSS. Profitez de 45 jours de garantie satisfait ou remboursé pour le tester en toute tranquillité !
Les trois principaux types d’attaque par XSS
Attaque XSS stocké
C’est le cas le plus dangereux d’attaque XSS puisqu’il est relativement facile à mettre en place en cas de faille XSS. L’attaque XSS stocké peut atteindre un maximum de personnes sans que le cybercriminel ait à les convaincre individuellement de faire une action particulière. Comme son nom l’indique, le code malveillant injecté est stocké dans la base de données sur le serveur. Ce code s’exécute dès qu’un internaute accède à la partie infectée. Appelé également attaque XSS persistant, ce type d’attaque peut être complexe à déceler.
Attaque XSS réfléchi
Dans cette variante, l’attaquant injecte le code malveillant dans une requête HTTP, mais il n’est pas stocké dans les bases de données du site web ou de l’application. Le code s’exécute uniquement lorsque l’internaute clique sur la requête HTTP. Un exemple d’attaque par XSS que vous pouvez rencontrer fréquemment sur le web consiste en des commentaires vous invitant à cliquer sur un lien précis. Or, ce lien contient le JavaScript malveillant.
Le résultat varie en fonction de la nature du code, vous pourrez par exemple constater la prise de contrôle de la session. Ce type d’attaque est plus facile à déceler puisque le code n’est pas directement injecté dans le serveur. De plus, son impact est limité aux personnes qui cliquent sur le lien.
Attaque XSS basé sur le DOM
Une attaque XSS basé sur le DOM (Document Object Model) exploite les failles du DOM en y injectant un script malveillant. Le DOM est une interface permettant aux programmes de lire et de modifier le contenu de la page côté client, c’est-à-dire sans passer par le serveur. En manipulant le code du DOM, l’attaquant peut donner l’impression que le site est compromis, alors qu’il ne l’est pas réellement. Cette technique est utilisée dans les cas de phishing ou spear phishing. Vous pourrez par exemple voir un message d’erreur vous indiquant que le site est indisponible et vous redirigeant vers un autre site d’apparence légitime.
Exemples d’attaque par XSS
Les plateformes en ligne populaires sont souvent prises pour cible par les hackers, en raison de la valeur des données qu’elles traitent et de leur grande audience. Dans les exemples suivants, en analysant le code, les experts en cybersécurité ont pu détecter les failles avant une attaque par XSS.
Le cas de Google
En 2022, les chercheurs de NDevTK ont découvert deux failles XSS dans Google Cloud, DevSite et Google Play. La première est une faille XSS réfléchie dans Google DevSite sur les origines http://cloud.google.com et http://developers.google.com qui peut lire et modifier le contenu des pages hébergées sur ces origines. La deuxième est une faille XSS basée sur le DOM sur Google Play qui permet de détourner les comptes des utilisateurs. Google a corrigé ces failles rapidement pour éviter les cyberattaques.
Le cas de WhatsApp
En 2020, les chercheurs de PerimeterX ont découvert une faille XSS sur la version desktop de la messagerie, due à un correctif de sécurité non encore pris en charge par Chromium à l’époque. La faille est enregistrée sous la référence CVE-2019-18426.
Les cybercriminels auraient pu exploiter cette faille en envoyant des messages directement à leur cible pour déclencher une attaque XSS persistante et avoir accès aux données sensibles. Dès que la cible lit le message, l’attaquant peut mener l’attaque à distance en exécutant des codes arbitraires. Une mise à jour a corrigé l’erreur.
Le cas de Fortnite
En 2019, les chercheurs de Checkpoint ont alerté Epic Games sur la faille XSS qui permet aux cybercriminels de pirater les comptes Fortnite des joueurs via un lien. Un simple clic, sans avoir besoin de rentrer les identifiants, peut déclencher l’attaque en utilisant le token. La brèche, causée par une page HTTP non sécurisée datée de 2004, a potentiellement exposé le compte de 80 millions de joueurs. Heureusement, Epic Games a pu corriger l’erreur rapidement en désactivant la page en question.
Comment se protéger de l’attaque par XSS ?
Un code sécurisé pour limiter les failles
Pour réduire les vulnérabilités XSS, la sécurisation du code doit commencer dès la conception du site ou de l’application. Cette sécurisation implique l’assainissement du code HTML via notamment l’échappement systématique des caractères spéciaux, que ce soit dans le code HTML, JavaScript, CSS ou dans l’URL, pour éviter l’exécution involontaire de scripts. Vous pouvez également utiliser la CSP (content security policy) pour spécifier quels types de contenu peuvent être chargés. Pour prévenir les failles, vous pouvez scanner régulièrement votre site web.
Désactivation de JavaScript
Vous pouvez utiliser des extensions limitant l’exécution de JavaScript. Cette mesure permet de bénéficier des fonctionnalités interactives du site web sans prendre le risque d’exécuter un script malveillant. À titre d’exemple, si vous utilisez Firefox, l’extension NoScript bloque automatiquement tous les scripts et permet de sélectionner les scripts à exécuter.
Prudence sur le web
Bien que l’attaque par XSS cible principalement le site web lui-même, vous pouvez prendre des mesures pour vous protéger, sans pour autant directement agir sur le site attaqué. En partant du principe qu’aucun élément du web n’est sûr, vous limitez les risques de cyberattaque. Ainsi, vous pouvez adopter les bonnes pratiques sur le web :
- Avant de cliquer sur un lien, assurez-vous qu’il soit fiable.
- Utilisez l’authentification à double facteur quand cela est possible.
- Privilégiez les navigateurs privés qui sont plus sécurisés.
- Mettez à jour votre système d’exploitation et vos logiciels.
- Activez votre VPN pour protéger vos données sensibles.
CyberGhost VPN est soucieux de votre confidentialité en ligne. Pour assurer la protection de vos données, nous adoptons une politique No-Logs stricte, ce qui signifie que nous ne suivons pas vos activités en ligne et ne conservons aucune de vos données. Un cabinet d’audit indépendant contrôle la fiabilité de cette politique. Vous trouverez tous les détails dans notre rapport de transparence.
Que vous recherchiez un VPN Mac, Windows, Linux, iOS ou Android, vous pouvez opter pour CyberGhost pour une protection des données imparable. Un seul abonnement permet de sécuriser 7 appareils en simultané, incluant votre routeur !
FAQ
Une attaque par XSS ou Cross-Site Scripting est un type de cyberattaque consistant à injecter un script malveillant (généralement JavaScript) sur un site web ou une application. L’objectif est, entre autres, de voler les données des utilisateurs. Vous pouvez les protéger contre une attaque XSS en installant CyberGhost VPN.
Pour qu’une attaque XSS fonctionne, il faut que le site web ou l’application ne filtre pas les données d’entrée (côté client). Ainsi, les cybercriminels peuvent y injecter un script malveillant. Pour qu’une attaque par XSS fonctionne du côté utilisateur, le navigateur web doit interpréter et exécuter le code JavaScript malveillant. Installez CyberGhost VPN pour sécuriser votre navigation sur le web.
Pour se protéger contre une attaque XSS, vous pouvez désactiver JavaScript et prendre des mesures comme l’utilisation d’antivirus et de VPN pour renforcer votre sécurité en ligne.
L’attaque XSS stocké est préalablement injectée sur le serveur et s’exécute dès que l’internaute visite la page infectée. Tandis que dans une attaque XSS classique, le code malveillant est inclus dans une requête HTTP. Ne négligez pas votre protection en ligne, installez CyberGhost VPN pour sécuriser vos données sensibles.
Laisser un commentaire