Balises de télémétrie

La télémétrie CSD fonctionne en deux phases. Premièrement, les scripts d’instrumentation se chargent depuis l’origine de l’application via des requêtes GET standard — ils injectent le code de surveillance de CSD dans la page. Le format d’URL du script suit le modèle https://<collection-domain>/__imp_apg__/js/<tenant-script>.js, bien que le chemin exact varie selon le déploiement. Une fois initialisés, les scripts envoient périodiquement des données de télémétrie à F5 via des requêtes POST appelées balises. Ces balises sont envoyées vers les domaines de collecte de signaux exploités par F5 (*.zeronaught.com), et non vers l’origine de l’application.

Propriété	Valeur
Chargements de scripts	Scripts d’instrumentation CSD chargés via des requêtes `GET` sur l’origine de l’application — filtrer sur `__imp_apg__` ou `zeronaught` dans les DevTools pour les identifier
Destinations des balises	`POST` vers l’infrastructure de collecte de signaux F5 (ex. : `us.gimp.zeronaught.com`, `csd.zeronaught.com`)
Format de la charge utile	Binaire encodé — non lisible par un humain en JSON
Fréquence	Périodique durant la durée de vie de la page ; des balises supplémentaires se déclenchent sur des événements spécifiques (accès à un champ de formulaire, chargement d’un nouveau script)

Ce que rapportent les balises

Les balises CSD transmettent des métadonnées de comportement des scripts, et non les saisies des utilisateurs :

Inventaire des scripts — quels scripts ont été chargés sur la page et depuis quels domaines sources
Événements d’accès aux champs de formulaire — quels scripts ont lu ou interagi avec quels champs de saisie (noms et types de champs)
Métadonnées de page — URL actuelle, horodatages, événements du cycle de vie de la page

CSD est conçu pour signaler les métadonnées de comportement des scripts — noms de champs, types de saisie et modèles d’accès — plutôt que les données de formulaire saisies par l’utilisateur. La déclaration de confidentialité F5 CSD décrit CSD comme collectant « des informations sur les ressources qui accèdent à divers éléments de page ou structures de données », en se concentrant sur le comportement des scripts plutôt que sur le contenu saisi par l’utilisateur.

Observer les balises dans les DevTools

Ouvrez les DevTools de Chrome (F12) et basculez vers l’onglet Réseau
Naviguez dans l’application ou interagissez avec des champs de formulaire pour générer du trafic
Saisissez zeronaught dans la barre de filtre pour isoler le trafic CSD — vous verrez le chargement du script (GET) et les balises de télémétrie (POST) vers us.gimp.zeronaught.com
Observez la colonne Méthode : les entrées GET correspondent au chargement du code d’instrumentation CSD ; les entrées POST nommées dip sont les balises de télémétrie transmettant les données de signal à F5
Cliquez sur une balise dip pour inspecter ses en-têtes et sa charge utile ; notez que le corps de la requête est en binaire encodé, non lisible en JSON

DevTools Network tab filtered to zeronaught showing GET script load and POST telemetry beacons

Les balises de télémétrie CSD sont des requêtes POST envoyées vers l’infrastructure exploitée par F5 (domaines *.zeronaught.com). Un script malveillant de formjacking, en revanche, exfiltre les données volées vers un domaine contrôlé par l’attaquant — généralement via fetch(), XMLHttpRequest ou une balise image (new Image().src).

Les balises CSD et l’exfiltration d’attaque sont toutes deux des requêtes cross-origin, mais les différences clés résident dans la destination et le contenu : CSD envoie des métadonnées de comportement des scripts vers une infrastructure F5 connue, tandis que l’exfiltration envoie des données saisies par l’utilisateur (mots de passe, numéros de carte) vers le serveur d’un attaquant. Cette distinction est au cœur du mécanisme de détection des attaques par CSD — consultez Capacités CSD — Limites de détection pour savoir ce que CSD peut et ne peut pas observer.