DÉMONSTRATION

Rapport d'audit de cybersécurité

Site e-commerce « MaBoutique.fr » — Réalisé le 15/06/2026

Client : MaBoutique.fr (démonstration)
Type d'audit : Boîte grise (accès limité)
Méthodologie : OWASP Top 10 2021
Référence : RAP-2026-001
12
Vulnérabilités
2
Critiques
4
Élevées
4
Moyennes
2
Faibles

Résumé pour le chef d'entreprise

Ce site e-commerce présente 12 failles de sécurité, dont 2 critiques qui mettent en danger les données de vos clients. En l'état, un attaquant pourrait :

Le coût estimé d'une intrusion : 15 000 € à 50 000 € (perte de données, réparation, image). Le coût des corrections : 399 €.

Critique

1. Injection SQL — fuite de la base de données

Concrètement : En tapant un code spécial dans la barre d'adresse (ex: /produit?id=1' OR '1'='1), un attaquant peut afficher toute votre base de données clients : noms, emails, adresses et mots de passe.

Impact : Vol de données clients, risque juridique (CNIL), perte de confiance.

Recommandation : Utiliser des requêtes préparées (PDO) — correction simple et rapide.
Critique

2. Faille XSS — attaque via les commentaires

Concrètement : N'importe qui peut poster un commentaire contenant du code JavaScript caché. Quand un visiteur lit ce commentaire, le code s'exécute et peut voler ses cookies de session.

Impact : Piratage de comptes clients, vol de paniers, redirection vers des faux sites de paiement.

Recommandation : Échapper les caractères spéciaux dans les commentaires (htmlspecialchars()).
Élevée

3. Mots de passe stockés en MD5 (non salés)

Concrètement : Les mots de passe sont stockés avec un ancien système (MD5) qui se craque en moins d'une minute. Si la base de données fuit, 80 % des mots de passe sont récupérables immédiatement.

Impact : Vos clients réutilisent souvent le même mot de passe ailleurs → risque de piratage de leur boîte mail, banque, etc.

Recommandation : Remplacer par bcrypt (standard actuel, recommandé par l'ANSSI).
Élevée

4. Pas de protection CSRF sur le formulaire de connexion

Concrètement : Un attaquant peut fabriquer un faux lien qui, si vous cliquez dessus pendant que vous êtes connecté, exécute une action sans votre consentement (changer le mot de passe, passer une commande).

Impact : Un simple clic sur un piège peut suffire à se faire pirater son compte.

Recommandation : Ajouter un token CSRF unique à chaque formulaire.
Élevée

5. Cookies de session non sécurisés

Concrètement : Les cookies "session" (qui permettent de rester connecté) n'ont pas les protections de base. Un attaquant peut les voler et usurper l'identité de n'importe quel utilisateur.

Impact : Usurpation de compte administrateur possible → contrôle total du site.

Recommandation : Activer les flags HttpOnly, Secure et SameSite sur les cookies.
Élevée

6. Bibliothèque obsolète (jQuery 1.12.4)

Concrètement : Cette version de jQuery a 14 failles de sécurité connues. Certaines permettent d'exécuter du code à distance.

Impact : Vulnérabilités connues et documentées, attaquable par des outils automatiques.

Recommandation : Mettre à jour jQuery vers la version stable la plus récente.
Moyenne

7. En-têtes de sécurité absents

Concrètement : Votre site n'envoie pas certains en-têtes qui protègent contre les attaques courantes (clic vol de fichiers, injection de contenu).

Recommandation : Ajouter X-Content-Type-Options, Content-Security-Policy et X-Frame-Options.
Moyenne

8. Répertoires accessibles publiquement

Concrètement : N'importe qui peut lister le contenu des dossiers /uploads/ et /backup/ dans son navigateur.

Recommandation : Désactiver l'indexation des répertoires dans le serveur.
Moyenne

9. Certificat SSL obsolète (SHA-1)

Concrètement : Le certificat utilise SHA-1, une technologie qui n'est plus considérée comme sûre depuis 2017. Les navigateurs récents affichent un avertissement.

Recommandation : Regénérer le certificat avec SHA-256 (Let's Encrypt le fait automatiquement).
Moyenne

10. Pas de limite de tentatives de connexion

Concrètement : Un attaquant peut essayer des milliers de mots de passe par minute sans être bloqué.

Recommandation : Installer un système de limitation (3 tentatives, puis blocage 15 minutes).
Faible

11. Version PHP affichée publiquement

Un attaquant peut connaître la version exacte de PHP utilisée pour cibler des failles connues.

Faible

12. Adresse email exposée dans le pied de page

Visible en texte clair, elle peut être récoltée par des robots pour du spam ou du phishing ciblé.

Plan d'action prioritaire (par urgence)

1

Urgent — Corriger l'injection SQL et la XSS

Ces deux failles critiques doivent être corrigées sous 48h. Elles exposent directement les données de vos clients.

2

Urgent — Remplacer MD5 par bcrypt

Les mots de passe de tous vos clients doivent être regénérés avec un algorithme sécurisé.

3

Important — Mettre à jour jQuery + en-têtes

Corriger les vulnérabilités connues et ajouter les protections de base.

4

Important — Désactiver le directory listing

Empêcher l'accès public aux dossiers sensibles.

5

Souhaitable — Renouveler le certificat SSL

Passer en SHA-256 pour la confiance des navigateurs.

← Retour au portfolio NovaSec