Site e-commerce « MaBoutique.fr » — Réalisé le 15/06/2026
Ce site e-commerce présente 12 failles de sécurité, dont 2 critiques qui mettent en danger les données de vos clients. En l'état, un attaquant pourrait :
Le coût estimé d'une intrusion : 15 000 € à 50 000 € (perte de données, réparation, image). Le coût des corrections : 399 €.
Concrètement : En tapant un code spécial dans la barre d'adresse (ex: /produit?id=1' OR '1'='1), un attaquant peut afficher toute votre base de données clients : noms, emails, adresses et mots de passe.
Impact : Vol de données clients, risque juridique (CNIL), perte de confiance.
Concrètement : N'importe qui peut poster un commentaire contenant du code JavaScript caché. Quand un visiteur lit ce commentaire, le code s'exécute et peut voler ses cookies de session.
Impact : Piratage de comptes clients, vol de paniers, redirection vers des faux sites de paiement.
htmlspecialchars()).Concrètement : Les mots de passe sont stockés avec un ancien système (MD5) qui se craque en moins d'une minute. Si la base de données fuit, 80 % des mots de passe sont récupérables immédiatement.
Impact : Vos clients réutilisent souvent le même mot de passe ailleurs → risque de piratage de leur boîte mail, banque, etc.
Concrètement : Un attaquant peut fabriquer un faux lien qui, si vous cliquez dessus pendant que vous êtes connecté, exécute une action sans votre consentement (changer le mot de passe, passer une commande).
Impact : Un simple clic sur un piège peut suffire à se faire pirater son compte.
Concrètement : Les cookies "session" (qui permettent de rester connecté) n'ont pas les protections de base. Un attaquant peut les voler et usurper l'identité de n'importe quel utilisateur.
Impact : Usurpation de compte administrateur possible → contrôle total du site.
HttpOnly, Secure et SameSite sur les cookies.Concrètement : Cette version de jQuery a 14 failles de sécurité connues. Certaines permettent d'exécuter du code à distance.
Impact : Vulnérabilités connues et documentées, attaquable par des outils automatiques.
Concrètement : Votre site n'envoie pas certains en-têtes qui protègent contre les attaques courantes (clic vol de fichiers, injection de contenu).
Concrètement : N'importe qui peut lister le contenu des dossiers /uploads/ et /backup/ dans son navigateur.
Concrètement : Le certificat utilise SHA-1, une technologie qui n'est plus considérée comme sûre depuis 2017. Les navigateurs récents affichent un avertissement.
Concrètement : Un attaquant peut essayer des milliers de mots de passe par minute sans être bloqué.
Un attaquant peut connaître la version exacte de PHP utilisée pour cibler des failles connues.
Visible en texte clair, elle peut être récoltée par des robots pour du spam ou du phishing ciblé.
Ces deux failles critiques doivent être corrigées sous 48h. Elles exposent directement les données de vos clients.
Les mots de passe de tous vos clients doivent être regénérés avec un algorithme sécurisé.
Corriger les vulnérabilités connues et ajouter les protections de base.
Empêcher l'accès public aux dossiers sensibles.
Passer en SHA-256 pour la confiance des navigateurs.