Ce que les propriétaires d'entreprise doivent savoir sur la protection de leurs données

février
1 2019

6 min de lecture

Les opinions exprimées par les contributeurs de l'Entrepreneur sont les leurs.

Face à la hâte récente d'améliorer la protection des données des consommateurs grâce au RGPD et aux autres réglementations en vigueur, les entreprises ont renforcé leurs plates-formes pour mieux protéger et sécuriser les données des utilisateurs. Mais est-ce suffisant? Que devez-vous savoir en tant que propriétaire d’entreprise, entrepreneur ou dirigeant?

De récents rapports de vulnérabilité montrent que même les grandes plateformes de commerce électronique et les réseaux sociaux peuvent facilement devenir un vecteur d’attaques pour les attaques XSS (cross-scripting), et cela se produit. même si les plateformes elles-mêmes sont sécurisées. Les vulnérabilités des fournisseurs d'applications tiers étant utilisées par les principales plates-formes destinées aux clients, le risque existe que les données des utilisateurs soient exposées à des lecteurs malveillants. C'est le risque auquel nous sommes tous confrontés, malheureusement.

Régimes de confidentialité des données

Peut-être que l'actualité technologique la plus importante en 2018 a été l'application du règlement général européen sur la protection des données qui visait à empêcher que les données personnelles de citoyens de l'Union européenne soient collectées et utilisées sans consentement. . Avec le GDPR, toute entreprise qui traite des données sur E.U. citoyens, ou qui compte E.U. Les citoyens comme leurs clients devront informer explicitement ces utilisateurs des efforts de collecte de données et rechercher un contenu explicite à cet effet.

Le GDPR a eu son impact même en dehors de l’Europe depuis toute entreprise fournissant des services à E.U. les citoyens ou les résidents devront se conformer. En outre, de nombreux règlements relatifs à la protection de la vie privée sont également en vigueur dans le monde entier, compte tenu de la récente focalisation des consommateurs et des entreprises sur la confidentialité des données, qui sont toutes de bonnes choses qui contribuent à nous protéger.

Même avec une attention accrue portée à En améliorant la protection de la vie privée, toutefois, les entreprises qui perdent des données d’utilisateur au profit de pirates malveillants sont encore confrontées à de nombreux risques. D'une part, compte tenu de la nature collaborative des services (par exemple, une boutique de commerce électronique utilisant un processeur de paiement ou un prestataire de services logistiques), le lien le plus faible ici serait le service susceptible d'introduire une violation potentielle. À cet égard, dans le cas où une application tierce mettrait l'utilisateur en danger, l'ensemble de l'opération pourrait déjà être compromis.

XSS en bref

Dans l'explication la plus simple, les attaques par XSS constituent une forme d'injection de données, dans lequel du code côté client malveillant est injecté par un attaquant dans un site Web par ailleurs légitime. Cela fonctionne en injectant du code – généralement JavaScript – dans un site Web ou dans la sortie d'une application Web, souvent à l'aide de formulaires tels que des champs de recherche, des formulaires de commentaires, des champs de saisie de texte de forum et même des cookies stockés dans le navigateur d'un utilisateur.

Si l'utilisateur accède à un site Web affecté, le code injecté est susceptible de générer une charge utile pouvant inclure l'exécution de code, le vol de données, le contrôle de la session d'un utilisateur ou l'installation de portes dérobées sur un système informatique ou un réseau.

De telles attaques sont supportées par le besoin pour que les sites Web d'aujourd'hui soient interactifs. Grâce aux nombreuses interactions entre le navigateur et le serveur sur une seule session, XSS peut même être utilisé pour extraire du contenu d'un site Web tiers, utiliser les données de cookies existantes (qui peuvent inclure des noms d'utilisateur et des mots de passe), ou interagir directement avec le côté client d'une application.

Quelles plates-formes ont été vulnérables?

Un récent exploit DOM-XSS (document objet modèle-XSS) a été découvert sur d'importants sites de réseaux sociaux et de commerce électronique, notamment Tinder, Shopify et Yelp, rapporte VPN Mentor. à la fin de 2018, exposant jusqu'à 685 millions d'utilisateurs dans le monde au vol de données

En approfondissant l'ampleur potentielle du risque, les chercheurs en sécurité ont découvert que la vulnérabilité XSS comprenait le service de transfert d'argent Western Union et le service de partage d'images. Imgur. Canva, Letgo, Lookout, Fair, Amazon Music, TicketMaster et Reddit, entre autres, ont également été touchés par cette vulnérabilité.

Le point faible est supposé provenir de Branch.io – un troisième. plate-forme de liaison mobile à plusieurs parties qui unifie les expériences des utilisateurs sur différents appareils et canaux. Le service a un sous-domaine d'alias pour ses sites partenaires (y compris ceux énumérés ci-dessus), et cliquer sur les liens pointant vers ces sous-domaines peut rendre les utilisateurs vulnérables au vol de données via des scripts injectés par des pirates informatiques malveillants.

La ​​société impliquée a corrigé rapidement la vulnérabilité potentielle après avoir reçu des rapports sur le risque XSS. Toutefois, cela exclut la possibilité que des attaquants aient découvert la vulnérabilité et l'exploité pour voler des données. Par conséquent, cela signifie que les utilisateurs qui ont récemment ou régulièrement utilisé les services détaillés ci-dessus, tels que Tinder, doivent vérifier si leurs comptes ne sont pas compromis. Il peut être judicieux de modifier le mot de passe et d'effacer le cache / cookie du navigateur.

Pour les entreprises, notamment – celles qui exploitent des plates-formes destinées aux consommateurs, ou même celles qui utilisent des sites Web pour accéder à leurs employés – il existe plusieurs méthodes. afin de minimiser les risques, comme l'explique ComputerWeekly, associé à XSS. Cela implique la création d'applications avec un cycle de vie de développement de sécurité serré. Cela signifie qu'il faut constamment construire et mettre à jour afin de réduire ou d'éliminer les erreurs de conception et de codage liées à la sécurité. Cela signifie également que toutes les données reçues par l'application peuvent potentiellement provenir d'une source non fiable, même si elles proviennent d'utilisateurs déjà connectés et authentifiés.

Ainsi, certains changements peuvent être adoptés pour les entrepreneurs. , propriétaires et dirigeants d’entreprise peuvent inclure:

• Ne pas faire confiance aveuglément aux utilisateurs. Cela implique de valider en permanence l'entrée pour le type, la longueur, le format et la plage de données chaque fois que de telles données traversent des limites de confiance;
• Réduction de l'entrée côté client afin d'éviter la possibilité de transmission de codes ou de jeux de caractères indésirables;
• jeu de caractères d'une page Web au strict minimum (ISO-8859-1), ce qui est suffisant pour l'anglais et la plupart des langues européennes;
• Demander aux utilisateurs de s'authentifier à nouveau avant d'accéder à des services essentiels;
• Expiration immédiate des sessions de connexion en cas d'accès depuis
• Utilisation de scanners de vulnérabilités pour suivre en temps réel ces risques;
• et réalisation de tests d'intrusion avant la mise en ligne d'une application ou d'un site Web.

A retenir

Selon les attaques XSS fait l’objet de toutes les manchettes, il est logique de s’attacher à prévenir les risques liés à la sécurité, en particulier à la lumière des appels lancés en faveur d’une protection renforcée de la confidentialité des données. C’est important aujourd’hui, étant donné que la plupart des sites ne fonctionneront pas sans l’écriture de scripts côté client.

Si cela vous dépasse toujours, assurez-vous de contacter votre webmaster pour qu’il vous explique en détail ces points importants. protection des données. Sachant que les principaux réseaux et services sociaux ont été exposés à une attaque XSS de grande envergure, les entreprises et les utilisateurs doivent être proactifs en ce qui concerne leur sécurité.