LIVE_FEED
--:--:--[HIGH]shop-***-deals.comMagecart skimmer (Group 7)// US-EAST--:--:--[HIGH]wp-***-blog.netDrive-by iframe → exploit kit// EU-WEST--:--:--[MEDIUM]cdn-***-helper.ioObfuscated cryptominer (CoinIMP)// AP-SOUTH--:--:--[HIGH]auth-***-login.coCredential phishing kit (16shop)// EU-CENTRAL--:--:--[MEDIUM]media-***-files.orgMalicious redirect chain → ClickFix// US-WEST--:--:--[HIGH]support-***-desk.comFakeUpdates / SocGholish payload// US-EAST--:--:--[LOW]track-***-pixel.appUnauthorized 3rd-party tracker// EU-NORTH--:--:--[MEDIUM]img-***-host.ruDrive-by download (TLD reputation)// EU-EAST--:--:--[HIGH]api-***-stats.xyzC2 beacon (Cobalt Strike profile)// AP-EAST--:--:--[LOW]promo-***-coupon.shopAffiliate cloaking + cookie stuff// US-CENTRAL--:--:--[HIGH]shop-***-deals.comMagecart skimmer (Group 7)// US-EAST--:--:--[HIGH]wp-***-blog.netDrive-by iframe → exploit kit// EU-WEST--:--:--[MEDIUM]cdn-***-helper.ioObfuscated cryptominer (CoinIMP)// AP-SOUTH--:--:--[HIGH]auth-***-login.coCredential phishing kit (16shop)// EU-CENTRAL--:--:--[MEDIUM]media-***-files.orgMalicious redirect chain → ClickFix// US-WEST--:--:--[HIGH]support-***-desk.comFakeUpdates / SocGholish payload// US-EAST--:--:--[LOW]track-***-pixel.appUnauthorized 3rd-party tracker// EU-NORTH--:--:--[MEDIUM]img-***-host.ruDrive-by download (TLD reputation)// EU-EAST--:--:--[HIGH]api-***-stats.xyzC2 beacon (Cobalt Strike profile)// AP-EAST--:--:--[LOW]promo-***-coupon.shopAffiliate cloaking + cookie stuff// US-CENTRAL
← назад към блога
Ingénierie2026-05-198 мин. четене

Sécurité côté client : la surface d'attaque que votre WAF ne voit pas

Le WAF protège votre origin. Mais la plupart des attaques modernes contre les sites se situent dans le navigateur du visiteur, sur du code tiers. Voici pourquoi la sécurité côté client est une discipline à part entière.

La sécurité côté client (client-side security) englobe tout ce qui se passe dans le navigateur du visiteur après le chargement de la page — l'exécution de JavaScript, les scripts tiers, les requêtes vers des domaines externes et les manipulations du DOM. C'est une surface que les protections centrées sur le serveur ne voient généralement pas.

L'histoire de l'industrie est centrée sur le serveur : WAF, IDS, file integrity monitoring. Tous regardent vers l'origin. Mais un site moderne charge des dizaines de scripts depuis des hôtes externes — analytics, publicités, tests A/B, chat, paiements. Chacun est du code que vous exécutez avec les pleins droits de votre page, et chacun est une possible porte d'entrée. Quand un script de tag manager ou CDN est compromis, votre WAF est aveugle, car le trafic malveillant ne le traverse jamais.

Les trois grandes classes de menaces côté client : le web skimming/formjacking (vol de données de formulaires), les drive-by downloads et les kits d'exploitation (livraison de malware au chargement) et ClickFix/faux CAPTCHA (ingénierie sociale exécutée par l'utilisateur lui-même). Ce qui les unit, c'est qu'elles s'exécutent côté client et sont invisibles pour une infrastructure orientée serveur.

En quoi consiste une bonne protection côté client : un inventaire de chaque script tiers et de ses connexions sortantes ; une Content-Security-Policy stricte ; Subresource Integrity pour les dépendances statiques ; et — point critique — un monitoring continu de ce que la page exécute réellement et vers qui elle se connecte, tel qu'observé depuis un vrai navigateur, et non depuis un scanner statique.

ExploitShield est entièrement construit autour de cette surface. Plutôt que de proxifier votre trafic, il répète le rendu des pages surveillées dans un vrai Chromium toutes les 5 minutes, capture chaque corps JS et chaque destination sortante, et les enrichit avec du renseignement sur les menaces. L'objectif est simple : rendre la surface d'attaque côté client aussi visible que la surface serveur l'est depuis des décennies.

свързани_статии
Détection
Détection des skimmers Magecart en 2026 : ce qui a changé depuis le Groupe 12
Renseignement sur les menaces
Anatomie du leurre « faux CAPTCHA → ClickFix »