Shared security audit

example.com

Diagnostic run 4 d ago · 7 weak points

Plusieurs failles
56/100
2Prioritaire2À planifier2Mineur

Weak points detected

  • Prioritaire
    Votre site peut être détourné sur un wifi public
    Un pirate sur le même réseau wifi qu'un de vos clients peut intercepter sa visite et lui présenter une fausse version de votre site. Une simple ligne de configuration corrige cette faille.
    What to do: Demandez à votre hébergeur ou à votre développeur d'activer « HSTS » sur votre site. Ça force tout le monde à toujours passer par la version sécurisée. 5 minutes de boulot.
    Show technical details →
    Ajoutez `Strict-Transport-Security: max-age=31536000; includeSubDomains` (et `; preload` pour soumettre au HSTS Preload List).
  • Prioritaire
    Votre site peut être détourné sur un wifi public
    Un pirate sur le même réseau wifi qu'un de vos clients peut intercepter sa visite et lui présenter une fausse version de votre site. Une simple ligne de configuration corrige cette faille.
    What to do: Demandez à votre hébergeur ou à votre développeur d'activer « HSTS » sur votre site. Ça force tout le monde à toujours passer par la version sécurisée. 5 minutes de boulot.
    Show technical details →
    Ajoutez `Strict-Transport-Security: max-age=31536000; includeSubDomains` dans votre serveur web.
  • À planifier
    Pas de filtre contre l'injection de code malveillant
    Si un pirate trouve la moindre faille sur votre site, il peut injecter son propre code dans vos pages (vol de mots de passe, défiguration, redirection vers du contenu malveillant). Un garde-fou à activer.
    What to do: Demandez à votre développeur de mettre en place une « Content-Security-Policy ». C'est un peu plus subtil — il faut tester pour ne rien casser — mais ça vaut le coup.
    Show technical details →
    Déclarez une CSP restrictive adaptée à votre site. À défaut : `default-src 'self'`.
  • À planifier
    Votre site est exposé aux pièges à clic
    Un site malveillant peut afficher le vôtre dans un cadre invisible et piéger vos visiteurs en leur faisant cliquer sur des boutons cachés (paiement, suppression, validation). Protection à activer.
    What to do: Petit ajout côté serveur : votre dev ou hébergeur ajoute « X-Frame-Options » dans la configuration. 1 ligne, 0 risque.
    Show technical details →
    Ajoutez `X-Frame-Options: SAMEORIGIN` pour prévenir le clickjacking.
  • Mineur
    Vos fichiers peuvent être mal interprétés par le navigateur
    Sans cette protection, un fichier uploadé sur votre site (image, document) pourrait être exécuté comme du code. Risque modéré mais facile à corriger.
    What to do: Demandez à votre dev d'ajouter le header « X-Content-Type-Options: nosniff » côté serveur. C'est une ligne dans la configuration.
    Show technical details →
    Ajoutez `X-Content-Type-Options: nosniff`.
  • Mineur
    Vos liens externes fuient des informations
    Quand un visiteur clique sur un lien sortant, l'URL exacte de votre page est envoyée au site de destination — ce qui peut leaker des données sensibles (paramètres, identifiants en clair).
    What to do: Petit réglage : demandez à votre dev d'ajouter « Referrer-Policy: strict-origin-when-cross-origin » côté serveur. Sans risque, sans impact UX.
    Show technical details →
    Ajoutez `Referrer-Policy: strict-origin-when-cross-origin`.
  • Info
    Votre nom de domaine n'est pas protégé contre la falsification
    Un attaquant sophistiqué pourrait théoriquement détourner les visiteurs cherchant votre site vers un site malveillant. Risque rare mais facile à éliminer auprès de votre registrar de domaine.
    What to do: Connectez-vous chez votre fournisseur de domaine (OVH, Gandi, Cloudflare…) — DNSSEC s'active en 1 clic dans la fiche du domaine.
    Show technical details →
    Activez DNSSEC chez votre registrar / hébergeur DNS (Cloudflare, OVH, Gandi le font en 1 clic).
Partager :