Audit de sécurité
enfin compréhensible

Teste 6 en-têtes critiques : Strict-Transport-Security (HSTS), Content-Security-Policy (CSP), X-Content-Type-Options, X-Frame-Options, Referrer-Policy et Permissions-Policy. Des en-têtes manquants exposent votre site au XSS, au clickjacking et aux attaques man-in-the-middle. Vérifie également les scripts de fingerprinting navigateur et la qualité de la redirection HTTP vers HTTPS.

Vérifie les enregistrements SPF et DMARC qui empêchent l’usurpation d’email, les enregistrements CAA qui contrôlent l’émission de certificats SSL, la redondance des serveurs de noms et la configuration MX. Sans SPF/DMARC, n’importe qui peut envoyer des emails en se faisant passer pour votre entreprise.

Inspecte chaque cookie pour les attributs Secure, HttpOnly et SameSite. Des attributs manquants permettent le vol de sessions via XSS, l’interception sur HTTP non chiffré, ou la falsification de requêtes cross-site (CSRF).

Teste votre politique Cross-Origin Resource Sharing en envoyant des requêtes depuis de fausses origines. Détecte les Access-Control-Allow-Origin en wildcard, les origines reflétées et l’acceptation de l’origine null — des erreurs qui permettent à des sites malveillants de lire vos réponses API et voler les données utilisateurs.

Vérifie plus de 60 chemins que les attaquants testent en premier : fichiers .env, dépôts .git, dumps de bases de données, pages phpinfo, archives de sauvegarde, panneaux d’administration exposés, pages d’erreur révélant des stack traces, source maps, clés API dans le HTML, et emails, numéros de téléphone et coordonnées de dirigeants exposés facilitant le phishing.

Détecte votre serveur web (Apache, Nginx, IIS), langage de programmation (PHP, Node.js, Python), CMS (WordPress, Drupal, Joomla), frameworks JavaScript (React, Vue, Angular, jQuery) et leurs versions. Des versions exposées indiquent aux attaquants exactement quelles CVE exploiter.

Interroge Google Safe Browsing pour vérifier si votre domaine est signalé pour malware, phishing ou logiciel indésirable. Un domaine signalé déclenche un avertissement plein écran dans Chrome — détruisant instantanément la confiance de vos visiteurs.

Audit complet SSL Labs : validation de la chaîne de certificats, surveillance d’expiration, support des protocoles (TLS 1.2+), force des suites de chiffrement, et vulnérabilités connues comme Heartbleed, POODLE, FREAK et Logjam. Note de A+ à F.

Vérifie 12 ports qui ne devraient jamais être exposés : MySQL (3306), PostgreSQL (5432), Redis (6379), MongoDB (27017), Elasticsearch (9200), FTP (21), SSH (22) et plus. Un port de base de données exposé est un accès direct à vos données.

Croise les technologies et versions détectées avec la base NVD (National Vulnerability Database) et OSV.dev. Trouve des CVE spécifiques avec leur niveau de sévérité — par exemple, «Query 3.4.1 a la CVE-2020-11023 (XSS par injection HTML)».

Détecte les formulaires HTML et vérifie l’absence de jetons CSRF, les champs de mot de passe sans attributs autocomplete, les formulaires soumis en HTTP au lieu de HTTPS, et les champs cachés suspects pouvant permettre des attaques par traversal de chemin.

Teste les pages de connexion pour l’énumération d’utilisateurs (messages d’erreur différents pour «email inconnu» vs «mot de passe incorrect»), l’absence de limitation de tentatives, et l’absence de protection anti-bots. Vérifie aussi si votre site sert son contenu complet aux scrapers connus comme python-requests et Scrapy.

Résout votre IP, identifie votre hébergeur via le DNS inverse, vérifie la confidentialité WHOIS, découvre les sous-domaines (admin, staging, dev, database), teste les transferts de zone DNS, et scanne les répertoires de documents accessibles publiquement contenant des PDF, tableurs et exports de bases de données indexés par Google.

Découvre les sous-domaines via les logs Certificate Transparency et le brute-force DNS avec 80+ préfixes courants. Sonde ensuite chaque sous-domaine découvert pour les en-têtes de sécurité manquants, l’accès HTTP uniquement, les fuites de version serveur et les panneaux d’administration exposés.

Analyse approfondie de votre chaîne d’authentification email. Parse la force du mécanisme SPF et le nombre de lookups DNS, découvre les sélecteurs DKIM sur 20+ fournisseurs et vérifie la taille des clés, score la politique DMARC (none/quarantine/reject), le mode d’alignement et la configuration de reporting.