Netcrook Logo
👤 CIPHERWARDEN
🗓️ 18 Oct 2025   🗂️ Threats    

Navigateurs sous siège : Palo Alto Networks brise le silence sur la contrebande invisible de malwares

Pour la première fois, un géant de la cybersécurité admet que les Secure Web Gateways ne peuvent pas arrêter une nouvelle génération d’attaques basées sur le navigateur, soulevant des questions urgentes pour toutes les entreprises.

En bref

  • Palo Alto Networks a publiquement reconnu les limites des Secure Web Gateways face aux attaques de « Last Mile Reassembly ».
  • SquareX a révélé pour la première fois ces attaques, capables de contourner toutes les principales solutions SASE/SSE, lors de DEF CON 32 en 2024.
  • Les attaquants fragmentent les malwares en morceaux indétectables, les réassemblant à l’intérieur du navigateur pour échapper aux défenses traditionnelles.
  • Plus de 20 techniques d’attaque de ce type ont été documentées, incluant l’exfiltration de données et des menaces natives au navigateur.
  • Le secteur pousse désormais pour une sécurité native au navigateur, alors que celui-ci devient la nouvelle ligne de front des attaques contre les entreprises.

Le champ de bataille caché du navigateur

Imaginez une porte verrouillée protégeant votre maison - pendant que vous dormez, un voleur astucieux glisse de minuscules morceaux d’un outil par la boîte aux lettres, l’assemblant discrètement dans votre salon. C’est l’essence même de l’attaque « Last Mile Reassembly », une technique si rusée qu’elle a laissé impuissants même les gardiens numériques les plus avancés.

L’an dernier, les chercheurs de SquareX ont tiré la sonnette d’alarme à DEF CON : des hackers avaient trouvé comment faire passer des malwares sous le nez des portiers numériques appelés Secure Web Gateways (SWG). En découpant le code malveillant en fragments inoffensifs et en les envoyant via le navigateur, les attaquants pouvaient réassembler leur charge utile juste sous le nez des défenses des entreprises. Pendant plus d’un an, l’industrie de la cybersécurité est restée largement silencieuse - jusqu’à ce que Palo Alto Networks, un poids lourd du secteur, admette enfin ce que SquareX dénonçait depuis le début.

Comment les attaquants déjouent les gardiens

La sécurité web traditionnelle fonctionne comme la sécurité d’un aéroport : elle inspecte chaque fichier ou paquet de données qui passe. Mais les attaquants se sont adaptés. Grâce au Last Mile Reassembly, ils divisent les malwares en petits morceaux indétectables ou les font passer par des canaux comme WebRTC et WebSockets - des outils courants pour les appels vidéo et les applications en temps réel que les SWG ignorent souvent. Une fois à l’intérieur, le navigateur devient un établi, assemblant les fragments en un malware opérationnel.

Ces attaques ne sont pas que théoriques. Les chercheurs de SquareX ont catalogué plus de 20 méthodes, dont les attaques de « Data Splicing » qui permettent à des initiés ou des hackers d’exfiltrer des données sensibles directement depuis le navigateur, contournant à la fois les outils de prévention des pertes de données (DLP) sur les endpoints et dans le cloud. L’essor des sites de partage de fichiers P2P et l’explosion du travail basé sur le navigateur (des outils d’IA aux applications cloud) ne font qu’amplifier le risque.

Changer de paradigme en matière de sécurité

L’aveu récent de Palo Alto Networks marque un tournant : l’ancienne garde de la sécurité basée sur les proxys ne suffit plus. Les navigateurs agissant désormais comme le « nouveau système d’exploitation » des entreprises, les attaquants ciblent ce point faible avec une sophistication croissante. SquareX, de son côté, milite pour des défenses natives au navigateur - des outils de sécurité qui fonctionnent depuis l’intérieur du navigateur lui-même, et non seulement à la périphérie du réseau.

Ce n’est pas la première fois que le secteur est pris de court. Les vulnérabilités passées des navigateurs et les attaques via extensions ont déjà forcé les fournisseurs à repenser leurs stratégies. Mais avec des rapports crédibles de vulnérabilités zero-day et des démonstrations en direct lors de grandes conférences, l’enjeu n’a jamais été aussi élevé. Le marché évolue, les entreprises exigeant désormais des solutions capables de détecter et stopper les menaces précisément là où elles atterrissent : à l’intérieur du navigateur.

Alors que le travail via navigateur devient la norme, les frontières entre le lieu de travail et le web s’estompent - tout comme celles de la sécurité. La reconnaissance récente de Palo Alto Networks est plus qu’un aveu ; c’est un signal d’alarme. Dans cette nouvelle frontière numérique, la véritable bataille pour la sécurité des entreprises ne se joue plus à la porte, mais sur le seuil du navigateur.

WIKICROOK

  • Secure Web Gateway (SWG) : Un Secure Web Gateway (SWG) filtre et surveille le trafic web, bloque le contenu malveillant et applique les politiques de sécurité pour protéger les utilisateurs en ligne.
  • Last Mile Reassembly Attack : Une attaque Last Mile Reassembly divise un malware en morceaux inoffensifs qui sont réassemblés en menace dans le navigateur de l’utilisateur, contournant les défenses de sécurité.
  • SASE/SSE (Secure Access Service Edge/Security Service Edge) : SASE et SSE sont des solutions cloud qui combinent sécurité et réseau pour protéger les utilisateurs distants, les appareils et les ressources cloud contre les cybermenaces.
  • WebRTC/WebSockets : WebRTC et WebSockets permettent aux navigateurs d’échanger des données en temps réel, alimentant appels vidéo et chats, mais peuvent aussi aider les attaquants à contourner les contrôles de sécurité.
  • Navigateur : Un navigateur est un logiciel permettant d’accéder et de consulter des sites web, collectant souvent des données de télémétrie pour surveiller l’activité des utilisateurs et renforcer la cybersécurité.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news