Une nouvelle étude ayant passé au crible 4 700 sites web montre comment la sécurité web s'est dégradée es 12 derniers mois. Les services tiers dispose d'un accès vos données sans justification, et les sites gouvernementaux sont de plus en plus infectés.
Les scripts de services applications tiers installés sur les sites web peuvent librement accéder à vos données personnelles sans que vous le sachiez. Selon Reflectiz la situation s'est considérablement dégradée en un an.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
La faute au marketing
L'analyse porte sur 4 700 sites majeurs répartis dans dix secteurs différents. D'après ces travaux, 64% des scripts tiers disposent d'une porte ouverte sur les données sensibles des internautes sans avoir de raison légitime, contre 51% l'an dernier. Pour être clair, on parle ici d'outils comme Google Tag Manager, Shopify ou Facebook Pixel lesquels sont donc en mesure de lire vos numéros de cartes bancaires, vos identifiants ou vos données de santé alors qu'ils n'en ont pas besoin pour fonctionner.
Google Tag Manager représente à lui seul 8% de tous les accès injustifiés aux données sensibles, suivi par Shopify avec 5% et Facebook Pixel avec 4%. Les analystes soulignent que les équipes marketing déploient généralement ces services en autonomie, sans passer par l'informatique. Elles sont alors à l'origine de 43% de tous les risques liés aux services tiers, soit plus du double des risques générés par les départements IT (18%).
Les pages de paiement posent un problème encore plus grave : 47% des services tiers qui y sont intégrés sans aucune raison spécifique. Ils sont soit sur la page du site ecommerce, soit insérés directement au sein du module de paiement cloisonné dans un iframe. Les services tiers peuvent donc en théorie accéder aux coordonnées bancaires de l'internaute - une technique appelée skimming numérique. Les sites ecommerce ont néanmoins réduit le nombre d'applications dans leurs pages de paiement de 29%, passant d'environ sept à cinq applications par site.
Les sites gouvernementaux ne sont pas épargnés
Les infrastructures publiques accumuleraient aussi les retards. Le taux d'activité malveillante sur les sites gouvernementaux serait passé de 2% à 12,9% en un an. Et la situation serait encore pire dans le secteur éducatif : 14,3% des sites seraient compromis, soit quatre fois plus qu'en 2024. Aux États-Unis, un site sur sept dans l'éducation présente donc une forme d'infection active.
Les sites compromis se trahissent de plusieurs façons. Ils se connectent à bien plus de domaines tiers (100 en moyenne au lieu de 36), chargent deux fois plus de trackers, et surtout utilisent des domaines nouvellement créés. C'est d'ailleurs le meilleur indicateur : 15% des sites infectés ont des domaines de moins de six mois, contre 4% chez les sites "propres".
Reflectiz a interrogé 128 responsables sécurité ; 81% de ces derniers estiment que la protection web figure parmi leurs priorités, mais seuls 39% déploient des solutions dédiées. Les contraintes budgétaires, réglementaires et de personnel expliquent ce décalage. Deux tiers des organisations allouent moins de 25% de leur budget sécurité à la protection web.
