


Certification délivrée au titre des catégories :
Actions de formation
Actions de formation par apprentissage
Actions de formation
Actions de formation par apprentissage
L’audit de sécurité web constitue un pilier fondamental pour garantir l’intégrité, la confidentialité et la disponibilité des services en ligne (le fameux modèle CIA !). Mais en quoi cela consiste-t-il en pratique ?
L’audit de sécurité web constitue un pilier fondamental pour garantir l’intégrité, la confidentialité et la disponibilité des services en ligne (le fameux modèle CIA que vous avez certainement découvert dès votre première année d’études en administration réseau).
Ce dossier technique expose aux étudiants en cybersécurité les fondamentaux de la discipline : des évolutions historiques aux méthodologies actuelles, en passant par l’utilisation d’outils spécialisés. L’objectif est de développer une compréhension opérationnelle des vulnérabilités web et des techniques d’audit.
Chez Cybersup, vous serez exposés à ces outils et à ces méthodologies dès notre Bachelor 3.
Prenez donc un peu d’avance, ou révisez vos fondamentaux, en explorant le cadre général dans cet article !
Aux débuts d’Internet, on peut estimer - sans trop d’exagération - que la sécurité restait quelque peu secondaire face aux enjeux de fonctionnalité.
Petite parenthèse pour les amateurs d'histoire de l'informatique, nombreux chez Cybersup : bien sûr, le hacking existait déjà de longue date ! A ma connaissance, on peut en fait en trouver ses prémices sur Arpanet, puis sur des réseaux tiers tels le Minitel ou ses équivalents étrangers. Ainsi, le premier virus date de 1971, à savoir aux tout débuts d'Arpanet ; il répondait alors au doux nom de Creeper, mais n'avait été conçu que pour tester les failles du système. Et en Europe, le premier "hack éthique" notable d'un réseau est celui du groupe allemand Chaos Computer Club, qui avaient soustrait l'équivalent de plus de 100 000 euros au réseau de la poste de la RFA, le Bildschirmtext, pour les rendre aussitôt. Où l'on voit d'ailleurs que les hackers des années 1970 /1980 étaient surtout versés dans le hacking éthique. Autre temps, autres moeurs...
Fermons la parenthèse.
Quoi qu'il en soit, la fréquence des premières cyberattaques, à l'orée des années 1990, était sans commune mesure avec ce que nous avons connu ces dernières années. Jusqu'à la fin des années 1990, les sites web, majoritairement statiques, ont donc été développés par des webmasters sans considération approfondie pour les risques de sécurité.
En revanche, les premières vulnérabilités significatives (injections SQL, XSS) documentées dès le début des années 1990 ont réellement été exploitées à grande échelle à partir de la fin de la décennie, notamment avec la généralisation des sites interactifs. Les esprits chagrins diront qu'à l'époque, les DSI se préoccupaient davantage d'autres sujets, tels le "bug de l'an 2000"...
C'est surtout l'essor du e-commerce et des transactions en ligne au début de notre siècle qui modifie la donne, en vérité. Elle induit une forte professionnalisation des attaquants, qui s'organisent progressivement en groupe structurés. Plus tard, aux côtés des cyber-criminels classiques, l'irruption de groupes étatiques ou para-étatiques d'un certain nombre de pays - Chine, Russie, Iran, Corée du Nord...- renforcera la menace et fera de l'attaque de sites web une véritable industrie de pointe, dotée de moyens considérables.
Face à cela, s'organisent également des mesures de défense. L'OWASP est créée en septembre 2001, par exemple. Cette communauté devient célèbre pour la publication de sa liste des vulnérabilités les plus critiques des applications web, le Top 10, qui devient une référence incontournable des pentesters.
Pour simplifier l’historique :
L'anecdote : Le cas "Rain Forest Puppy" en 1999 illustre parfaitement les défis de cette époque. Sous ce pseudonyme quelque peu attendrissant : Jeff Forristal, chercheur en sécurité informatique. Ce dernier découvre des vulnérabilités majeures dans le CMS open source PHPNuke, alors très utilisé. Il publie alors la "RFPolicy", une politique de divulgation qui établissait des lignes directrices pour signaler les failles de sécurité aux éditeurs de logiciels avant de les rendre publiques. Il s'agit à l'époque du premier cadre formel pour la notification des failles de sécurité aux développeurs avant publication. Ce moment marque un tournant dans la professionnalisation de la sécurité web. (Source : CERT/CC, “A Brief History of Vulnerability Disclosure”).
Nous sommes donc arrivés à une phase où les cyberattaques deviennent extrêmement fréquentes. En conséquence, les audits de site web deviennent également plus systématiques. Au cœur de ces audits, il y a un bon nombre d’outils : nous nous sommes efforcés de vous présenter les principaux, leurs usages, avec un tableau comparatif pour guider leur sélection.
Tous ne sont pas adaptés aux pentesters débutants…mais comme vous pouvez le constater dans nos maquettes pédagogiques (B3 Cyber ici, MSc Cyber là), vous les explorerez amplement dans les cursus de Cybersup.
Le nom sonne aussi peu bien en français que l’outil est incontournable ! Mais c’est un point assez secondaire. Burp Suite est largement utilisé par les experts en cybersécurité, les pentesters et les développeurs soucieux de la robustesse de leurs applications. Il permet notamment d’intercepter les requêtes envoyées à un site web - une fois configuré comme un proxy - ce qui permet de simuler des attaques de type “man in the middle”. Mais il sait aussi effectuer des scans de vulnérabilité, à l'instar d'OWASP ZAP (cf ci-après).
Fonction : Proxy d’interception et analyse des requêtes HTTP/HTTPS
Applications concrètes :
Mode d’emploi : Configurer le proxy sur 127.0.0.1:8080 et paramétrer le navigateur en conséquence. Utiliser le module Spider pour cartographier l’application avant l’analyse ciblée.
L’anecdote : Dans le rapport HackerOne 2018, 30% des hackers indiquent utiliser BurpSuite. Chiffre sans doute sous-estimé désormais...
Fonction : Scanner de vulnérabilités open-source
Points forts :
Mode d’emploi : Limiter les analyses aux segments pertinents de l’application pour réduire les faux positifs. Combiner avec des tests manuels pour maximiser la couverture.
L’anecdote : Selon une étude du NIST en 2021, l’intégration de ZAP dans les pipelines CI/CD réduit en moyenne de 65 % le coût de correction des vulnérabilités grâce à leur détection précoce. Cependant, le taux de faux positifs reste élevé (environ 35 %), soulignant l’importance d’une validation manuelle. (Source : NIST Special Publication 800-218, “Secure Software Development Framework”)
Commentaire d’expert :
“Les scanners comme OWASP ZAP sont excellents pour repérer les failles évidentes, mais ils ne remplacent pas l’intuition humaine. Une vulnérabilité logique, comme une faille dans un workflow de paiement, ne sera jamais détectée par un outil automatisé. Apprenez à penser comme un attaquant.” - John Hammond, pentester et créateur de contenu, dans une vidéo YouTube (2024). (Source : YouTube, John Hammond, “Why Automated Scanners Aren’t Enough for Web Pentesting”, 2024)
Fonction : Scanner de ports et découverte réseau
Commandes essentielles :
Optimisation : Utiliser des options comme --script vuln pour détecter automatiquement certaines vulnérabilités connues.
Application pratique documentée : Dans l’incident de sécurité Equifax de 2017, les attaquants ont exploité une instance Apache Struts non patchée. Un simple scan Nmap avec détection de version aurait révélé la vulnérabilité CVE-2017-5638. (Source : U.S. Government Accountability Office, “Equifax Data Breach: Report to Congressional Requesters”, 2018)
L’anecdote : Une course contre la montre face à TeamCity (2024)
En mars 2024, une entreprise de développement logiciel a frôlé la catastrophe lorsqu’une alerte a signalé une tentative d’exploitation de la vulnérabilité CVE-2024-27198 dans TeamCity, permettant un contournement d’authentification. L’équipe de sécurité a lancé un audit d’urgence, utilisant Nmap avec la commande nmap -sV -sC pour repérer les instances TeamCity exposées.
Le scan a révélé que 80 % des serveurs n’étaient pas patchés, un oubli dû à une mauvaise gestion des mises à jour. En 48 heures, l’équipe a appliqué des correctifs et déployé un pare-feu d’application web (WAF), neutralisant la menace. Cette intervention rapide a évité une compromission potentielle de données sensibles. Cet exemple montre comment Nmap peut transformer une situation critique en succès défensif.
(Source : Rapid7, “TeamCity Vulnerability CVE-2024-27198: Analysis and Mitigation”, 2024)
Fonction : Validation de l’exploitabilité des vulnérabilités
Modules pertinents :
Cadre légal : Utilisation strictement réservée aux environnements autorisés.
Considérations pratiques : Une analyse des logs de détection dans 150 entreprises réalisée par Mandiant en 2022 révèle que l’utilisation de Metasploit est détectée dans 92 % des cas par les solutions EDR modernes, contre seulement 31 % pour les exploits personnalisés. (Source : Mandiant M-Trends 2022)
Outils de reconnaissance
Exemples :
Pratique recommandée : Créer des scripts d’automatisation combinant ces outils pour systématiser la phase de reconnaissance.
L’anecdote : D’après l’étude “State of Bug Bounty” de Bugcrowd (2022), les chercheurs en sécurité consacrent 36 % de leur temps à la reconnaissance. Les vulnérabilités sur des sous-domaines oubliés représentent 18 % des découvertes critiques. (Source : Bugcrowd, “The State of Bug Bounty 2022”)
Bon, nous avons vu les outils. Mais concrètement, comment procéder ?
De manière classique, le processus d’audit de site web tient en 5 à 6 étapes… enfin, sans compter les boucles de rétroaction ! Cf schéma suivant :
Objectifs précis :
Métriques de réussite : Couverture à 100 % des sous-domaines et des points d’entrée.
Impact mesurable : Une étude de PortSwigger (2023) sur 50 audits web révèle que consacrer 25 % du temps à la reconnaissance (contre 10 % habituellement) augmente de 40 % les découvertes de vulnérabilités critiques. (Source : PortSwigger Research, “Effective Web Application Security Assessment”, 2023)
L’anecdote : Une PME e-commerce sous pression (2024)
En 2024, une PME canadienne du e-commerce a reçu un avertissement inquiétant : des tentatives d’intrusion répétées sur son site. Paniquée, l’équipe a engagé un audit de sécurité web. La phase de reconnaissance, menée avec Subfinder et Amass, a été une révélation : plusieurs sous-domaines oubliés, hébergeant des applications obsolètes, étaient des portes ouvertes pour des attaques XSS. L’audit a dénombré 12 vulnérabilités critiques, dont 8 liées à ces sous-domaines. En quelques semaines, la PME a fermé les sous-domaines inutiles, mis à jour les logiciels, et ajouté des headers CSP, réduisant sa surface d’attaque de 70 %. Cette histoire montre comment une reconnaissance minutieuse peut transformer une situation vulnérable en une forteresse numérique.
(Source : helloDarwin, “Étude de cas : Audit de cybersécurité pour une PME”, 2024)
Commentaire d’expert :
“La reconnaissance est comme les fondations d’une maison : si vous la bâclez, tout s’effondre. J’ai vu des audits échouer parce que les équipes ont sous-estimé l’importance de cartographier tous les sous-domaines et endpoints. Consacrez-y du temps, et les vulnérabilités critiques viendront à vous.”
— Katie Paxton-Fear (@katiep_sec), chercheuse en sécurité, dans une interview pour The CyberWire (2024). (Source : The CyberWire, “Bug Bounty Insights with Katie Paxton-Fear”, 2024)
Techniques spécifiques :
Pratique recommandée : Combiner scans automatisés et tests manuels pour éviter les angles morts.
L’anecdote : Selon le rapport Veracode “State of Software Security” (2023), 74% des applications présentaient au moins une faille de sécurité découverte dans les 12 derniers mois ; pour 69% des applications, cette vulnérabilité fait partie de la liste du Top 10 OWASP. (Source : Veracode, “State of Software Security 2023”)
Approche technique :
Standards de documentation : Captures d’écran, logs de requêtes, code d’exploitation neutralisé.
L’anecdote : Une enquête du SANS Institute (2022) montre que 76 % des organisations avec un processus formalisé d’exploitation contrôlée rencontrent moins de désaccords avec les équipes de développement sur la gravité des failles. (Source : SANS Institute, “Effective Vulnerability Management Processes”, 2022)
Structure efficace :
Format recommandé : Présentation hiérarchisée par niveau de risque (CVSS) avec code correctif suggéré.
Bonnes pratiques : Une analyse dans le Journal of Cybersecurity (2022) montre que les rapports avec des exemples de code correctif ont un taux de résolution de 73 % après 30 jours, contre 42 % pour les rapports textuels. (Source : Journal of Cybersecurity, “Effectiveness of Security Audit Reports on Vulnerability Remediation”, Vol. 8, 2022)
Processus rigoureux :
Indicateur de succès : Conformité à 100 % avec les recommandations initiales.
Retour d’expérience : Selon le FIRST, 24 % des vulnérabilités “corrigées” restent incomplètes au premier correctif, un phénomène appelé “security whack-a-mole”. (Source : FIRST.org, “Vulnerability Coordination and Remediation Best Practices”, 2023)
N'oubliez jamais cette très célèbre citation en cyber, du cryptologue Bruce Schneier (aussi étrange que cela puisse paraître, il s'agit bien de l'équivalent de Chuck Norris en cybersécurité) : “Security is a process, not a product.”
En résumé : la cyber est un processus d'amélioration continue ! Et pour poursuivre ce processus, nous vous recommandons les lectures suivantes :
Ressources spécialisées :
Tutoriels et plateformes pratiques :
L’audit de sécurité web exige une combinaison de rigueur méthodologique, de maîtrise technique des outils et de compréhension approfondie des vulnérabilités. En adoptant l’approche structurée présentée dans ce dossier, vous développerez une expertise opérationnelle immédiatement applicable sur le terrain.
Nous ne sommes qu'au début de l'aventure. Comme nous l'avons vu dans la section historique, le web évolue, et les types d'attaque avec. Avec le serverless, la virtualisation, les API Rest, de nouvelles attaques émergent et de nouvelles pratiques sont à mettre en oeuvre dans les audits de sécurité web.
L’évolution constante des menaces impose donc une veille technique permanente et une pratique régulière sur des environnements comme TryHackMe ou HackTheBox pour rester à la pointe. Mais cela, votre responsable pédagogique Cybersup vous en parlera en temps voulu !