Actualité IECHC.com / Dernières informations

21/11/2024 - Attention aux images SVG !

Les fichiers SVG (Scalable Vector Graphics) sont souvent utilisés pour afficher des graphiques vectoriels sur le web. Bien qu'ils soient légers et pratiques, ils peuvent également présenter des risques de sécurité s'ils sont mal utilisés ou manipulés par des personnes malveillantes. Voici les principaux points à connaître :


1. Contenu actif dans les SVG

Contrairement à d'autres formats d'images (comme PNG ou JPEG), un fichier SVG peut contenir :

  • JavaScript : qui peut exécuter du code malveillant.
  • Hyperliens : redirigeant l'utilisateur vers des sites malveillants.
  • Chargements externes : pour injecter des scripts ou récupérer des données sensibles.

2. Risques potentiels

  • Phishing : un SVG peut contenir des liens ou scripts trompeurs pour voler des informations.
  • Exploitation de vulnérabilités : les navigateurs mal configurés ou anciens peuvent être ciblés par des scripts malveillants inclus dans un SVG.
  • Vol de données : un SVG peut tenter de récupérer des informations locales (cookies, variables d'environnement, etc.).
  • Attaque DDoS : un SVG volumineux ou manipulé peut ralentir ou planter un site.

3. Conseils de sécurité

Pour se protéger des tentatives de piratage via SVG :

  1. Valider les fichiers SVG : Utilisez des outils pour nettoyer les fichiers SVG (comme SVGO) et supprimer tout contenu actif.
  2. Interdire les scripts SVG : Configurez vos serveurs ou outils pour désactiver l'exécution de scripts dans les SVG.
  3. Utiliser des balises <img> : Affichez les SVG via une balise <img> plutôt que les inclure directement avec <object> ou <embed>.
  4. Limiter les sources externes : Bloquez les chargements de ressources externes dans les SVG.
  5. Interdire les uploads directs : Ne permettez pas aux utilisateurs de télécharger et d'utiliser des SVG non vérifiés sur votre site.

4. Rappel aux développeurs

Si vous travaillez avec des fichiers SVG :

  • Inspectez toujours leur contenu avant de les utiliser.
  • Activez un pare-feu d'applications web (WAF) pour détecter les attaques potentielles.
  • Renseignez-vous sur les bonnes pratiques en matière de Content Security Policy (CSP) pour limiter les exécutions non désirées.

En résumé, bien que les SVG soient une technologie puissante et flexible, ils doivent être utilisés avec précaution. Adopter des mesures de sécurité adaptées est essentiel pour éviter les problèmes liés à des fichiers compromis

Hébergements web clients : 99% | Serveurs Mails clients : 97% | MySQL clients : 97%