En plus de faire le boulot de la NSA, les sites qui font appels à des scripts externes abaissent leur sécurité au niveau de celui des sociétés externes dont dépendent ces scripts.

Reuters en a fait les frais car l'une des sociétés (Taboola), dont elle charge un script dans toutes ses pages, a été attaquée.
La SEA a manisfestement pu modifier le code du script de Taboola, leur permettant ainsi de commettre un défacement du site complet (pour peu qu'on ne bloque pas ce script).

Merci pour ce beau PoC.