Une banque a approuvé un pixel **Taboola**. Ce pixel a discrètement redirigé les utilisateurs connectés vers un point de terminaison de suivi **Temu**. Cela s'est produit à l'insu de la banque, sans le consentement de l'utilisateur et sans qu'un seul contrôle de sécurité n'enregistre une violation.  ### **L'Angle Mort du "Biais du Premier Saut"** La plupart des piles de sécurité, y compris les WAF, les analyseurs statiques et les CSP standard, partagent un mode d'échec commun : elles évaluent l'**origine déclarée** d'un script, et non la **destination d'exécution** de sa chaîne de requêtes. Si `sync.taboola.com` figure dans votre liste d'autorisation de la Content Security Policy (CSP), le navigateur considère la requête comme légitime. Cependant, il ne re-valide pas la destination terminale d'une redirection **302**. Au moment où le navigateur atteint `temu.com`, il a hérité de la confiance accordée à **Taboola**.  ### **La Trace Forensique** Lors d'un audit en février 2026 d'une plateforme financière européenne, **Reflectiz** a identifié la chaîne de redirection suivante s'exécutant sur les pages de comptes connectés : 1. **Requête Initiale :** Une requête GET vers `https://sync.taboola.com/sg/temurtbnative-network/1/rtb/`. 2. **La Redirection :** Le serveur a répondu avec un **302 Found**, redirigeant le navigateur vers `https://www.temu.com/api/adx/cm/pixel-taboola?...`. 3. **Le Payload :** La redirection incluait l'en-tête critique `Access-Control-Allow-Credentials: true`. Cet en-tête indique spécifiquement au navigateur d'inclure les cookies dans la requête inter-origines vers le domaine de **Temu**. C'est le mécanisme par lequel **Temu** peut lire ou écrire des identifiants de suivi sur un navigateur qu'il sait maintenant avoir visité une session bancaire authentifiée.  ### **Pourquoi les Outils Conventionnels l'ont Manqué** html <table><tbody><tr><td>Outil</td><td>Pourquoi il Échoue</td></tr><tr><td>WAF</td><td>Inspecte uniquement le trafic entrant ; manque les redirections sortantes côté navigateur.</td></tr><tr><td>Analyse Statique</td><td> Voit le code Taboola dans la source mais ne peut pas prédire les destinations 302 d'exécution.</td></tr><tr><td>Listes d'autorisation CSP</td><td>La confiance est transitive ; le navigateur suit automatiquement la chaîne de redirection une fois le premier saut approuvé.</td></tr></tbody></table> ### **Les Conséquences Réglementaires** Pour les entités réglementées, l'absence de vol direct d'identifiants ne limite pas l'exposition à la conformité. Les utilisateurs n'ont jamais été informés que leur comportement de session bancaire serait associé à un profil de suivi détenu par **PDD Holdings** — une défaillance de transparence en vertu de l'article 13 du RGPD. Le routage lui-même implique une infrastructure dans un pays non adéquat, et sans clauses contractuelles types couvrant cette relation spécifique de quatrième partie, le transfert n'est pas pris en charge en vertu du chapitre V du RGPD. "Nous ne savions pas que le pixel faisait cela" n'est pas une défense disponible pour un responsable du traitement des données en vertu de l'article 24. L'exposition PCI DSS aggrave cela. Une chaîne de redirection se terminant sur un domaine de quatrième partie imprévu sort du champ d'application de toute revue qui n'a évalué que le fournisseur principal — ce qui est précisément ce pour quoi l'exigence 6.4.3 a été rédigée. ### **Inspectez l'Exécution, Pas Seulement les Déclarations** Actuellement, la même configuration de pixel **Taboola** s'exécute sur des milliers de sites web. La question n'est pas de savoir si des chaînes de redirection comme celle-ci se produisent. Elles se produisent. La question est de savoir si votre pile de sécurité peut voir au-delà du premier saut — ou si elle s'arrête au domaine que vous avez approuvé et considère que c'est terminé. **Pour les équipes de sécurité :** inspectez le comportement d'exécution, pas seulement les listes de fournisseurs déclarées. **Pour les équipes juridiques et de confidentialité :** les chaînes de suivi au niveau du navigateur sur les pages authentifiées méritent la même rigueur que les intégrations backend. **La menace est entrée par la porte d'entrée. Votre CSP l'a laissée entrer.**