Shared security audit

zaffaires.re

Diagnostic run 4 d ago · 9 weak points

Plusieurs failles
52/100
2Prioritaire2À planifier4Mineur

Weak points detected

  • Prioritaire
    Votre site peut être détourné sur un wifi public
    Un pirate sur le même réseau wifi qu'un de vos clients peut intercepter sa visite et lui présenter une fausse version de votre site. Une simple ligne de configuration corrige cette faille.
    What to do: Demandez à votre hébergeur ou à votre développeur d'activer « HSTS » sur votre site. Ça force tout le monde à toujours passer par la version sécurisée. 5 minutes de boulot.
    Show technical details →
    Ajoutez `Strict-Transport-Security: max-age=31536000; includeSubDomains` (et `; preload` pour soumettre au HSTS Preload List).
  • Prioritaire
    Votre site peut être détourné sur un wifi public
    Un pirate sur le même réseau wifi qu'un de vos clients peut intercepter sa visite et lui présenter une fausse version de votre site. Une simple ligne de configuration corrige cette faille.
    What to do: Demandez à votre hébergeur ou à votre développeur d'activer « HSTS » sur votre site. Ça force tout le monde à toujours passer par la version sécurisée. 5 minutes de boulot.
    Show technical details →
    Ajoutez `Strict-Transport-Security: max-age=31536000; includeSubDomains` dans votre serveur web.
  • À planifier
    Pas de filtre contre l'injection de code malveillant
    Si un pirate trouve la moindre faille sur votre site, il peut injecter son propre code dans vos pages (vol de mots de passe, défiguration, redirection vers du contenu malveillant). Un garde-fou à activer.
    What to do: Demandez à votre développeur de mettre en place une « Content-Security-Policy ». C'est un peu plus subtil — il faut tester pour ne rien casser — mais ça vaut le coup.
    Show technical details →
    Déclarez une CSP restrictive adaptée à votre site. À défaut : `default-src 'self'`.
  • À planifier
    Votre site est exposé aux pièges à clic
    Un site malveillant peut afficher le vôtre dans un cadre invisible et piéger vos visiteurs en leur faisant cliquer sur des boutons cachés (paiement, suppression, validation). Protection à activer.
    What to do: Petit ajout côté serveur : votre dev ou hébergeur ajoute « X-Frame-Options » dans la configuration. 1 ligne, 0 risque.
    Show technical details →
    Ajoutez `X-Frame-Options: SAMEORIGIN` pour prévenir le clickjacking.
  • Mineur
    Vos fichiers peuvent être mal interprétés par le navigateur
    Sans cette protection, un fichier uploadé sur votre site (image, document) pourrait être exécuté comme du code. Risque modéré mais facile à corriger.
    What to do: Demandez à votre dev d'ajouter le header « X-Content-Type-Options: nosniff » côté serveur. C'est une ligne dans la configuration.
    Show technical details →
    Ajoutez `X-Content-Type-Options: nosniff`.
  • Mineur
    Vos liens externes fuient des informations
    Quand un visiteur clique sur un lien sortant, l'URL exacte de votre page est envoyée au site de destination — ce qui peut leaker des données sensibles (paramètres, identifiants en clair).
    What to do: Petit réglage : demandez à votre dev d'ajouter « Referrer-Policy: strict-origin-when-cross-origin » côté serveur. Sans risque, sans impact UX.
    Show technical details →
    Ajoutez `Referrer-Policy: strict-origin-when-cross-origin`.
  • Mineur
    Politique anti-fraude email en mode passif
    Vous savez que des fraudes existent mais vous laissez les serveurs les laisser passer. Activez le mode « rejet » pour bloquer activement les emails qui usurpent votre marque.
    What to do: Après quelques semaines de monitoring, demandez à passer en « p=quarantine » puis « p=reject » dans votre enregistrement DMARC. 1 modification chez votre fournisseur DNS.
    Show technical details →
    Après quelques semaines de monitoring, passez à `p=quarantine` puis `p=reject`.
  • Mineur
    Vos emails ne sont pas signés numériquement
    Sans signature DKIM, vos vrais emails ont plus de risques de tomber en spam, et il est plus dur pour les destinataires de distinguer un faux email d'un vrai. À activer chez votre fournisseur d'email.
    What to do: Activez DKIM chez votre fournisseur email (Google Workspace, Microsoft 365, etc.). C'est généralement un simple toggle dans leurs paramètres avancés.
    Show technical details →
    Activez DKIM chez votre fournisseur mail (Google Workspace, Microsoft 365, Mailjet…) et publiez le record TXT fourni.
  • Info
    Votre nom de domaine n'est pas protégé contre la falsification
    Un attaquant sophistiqué pourrait théoriquement détourner les visiteurs cherchant votre site vers un site malveillant. Risque rare mais facile à éliminer auprès de votre registrar de domaine.
    What to do: Connectez-vous chez votre fournisseur de domaine (OVH, Gandi, Cloudflare…) — DNSSEC s'active en 1 clic dans la fiche du domaine.
    Show technical details →
    Activez DNSSEC chez votre registrar / hébergeur DNS (Cloudflare, OVH, Gandi le font en 1 clic).
Partager :