Ce que je cherche.
Une infrastructure web expose bien plus qu'on ne le croit. Quatre familles de vecteurs concentrent l'essentiel du risque réel. Invisibles tant que personne ne regarde du bon côté.
Secrets exposés
Fichiers .env publics, credentials en clair, clés API et tokens oubliés dans le code front. Le secret le plus dangereux est celui que le dev pense privé.
Configuration serveur
Headers de sécurité manquants, CORS permissif, TLS mal configuré, services exposés. La porte n'était pas forcée. Elle était déjà ouverte.
Fichiers sensibles
Backups oubliés, dépôts .git accessibles, source maps en production, dumps SQL. Le code source complet d'une appli, accessible en une requête.
Vulnérabilités applicatives
Injections, authentification manquante, IDOR, logique métier contournable. Là où le développeur a supposé sans jamais vérifier.
Des failles réelles. Des entreprises réelles.
Trois découvertes parmi d'autres, signalées en responsible disclosure et corrigées. Noms anonymisés conformément aux engagements de confidentialité.
En une seule commande, il était possible de télécharger l'intégralité du code source de 15 sites de production. Le dépôt contenait : une clé privée Google Cloud active permettant d'accéder aux données analytiques de 50 millions de visiteurs par mois, des identifiants d'accès root au serveur de déploiement, et une clé JWT permettant d'usurper n'importe quel compte utilisateur du réseau.
La faille se trouvait chez leur agence technique, pas directement chez le client. Un dépôt Git accessible sur le serveur de l'agence contenait les fichiers de configuration de plusieurs dizaines de projets clients. Parmi les secrets trouvés : une clé Stripe de production active, une clé d'accès CRM donnant accès à l'ensemble de la base contacts abonnés avec leurs données personnelles, et des identifiants de gestion des comptes utilisateurs.
Une URL publique donnait accès à l'intégralité du code source de l'application sans aucune authentification. L'analyse du code a révélé que la base de données de chat de l'application était accessible en lecture libre par n'importe qui sur internet : les conversations entre chauffeurs et passagers étaient lisibles en temps réel. Le code contenait également des failles d'injection SQL non protégées dans l'API mobile, ainsi que des clés d'accès aux services tiers stockées en clair.
Trois niveaux d'audit.
Du diagnostic rapide à l'accompagnement complet. Chaque audit se conclut par un rapport actionnable, priorisé par impact réel.
Audit LITE
49–99€Diagnostic rapide de votre exposition externe. Idéal pour une première évaluation.
- →Scan de la surface d'attaque externe
- →Détection des secrets et fichiers exposés
- →Vérification de la configuration serveur
- →Rapport synthétique avec priorités
Derniers articles
Recherches, vulnérabilités et conseils sécurité.
SPF, DKIM, DMARC : trois acronymes inconnus qui permettent d'envoyer des mails en se faisant passer pour vous
Sans ces trois enregistrements DNS, n'importe qui peut envoyer un email qui semble venir de vous. Vos clients, vos fournisseurs, sans jamais toucher à votre boîte mail.
XSS stocké : j'ai injecté du JavaScript dans votre back-office
Un simple champ texte sans vérification, et votre back-office exécute du code à votre insu. Le XSS stocké, c'est la faille qui se fait oublier jusqu'au jour où elle ne se fait plus du tout oublier.
SSRF : j'ai demandé à votre serveur de m'ouvrir votre réseau interne
Votre serveur fait confiance à ses propres requêtes. Le problème, c'est que je lui ai demandé d'en faire une pour moi. Et il a obéi.
Décrivez votre exposition.
Réponse sous 24h ouvrées · première analyse gratuite
Étape 1 · Votre besoin