L’audit de sécurité web constitue un pilier fondamental pour garantir l’intégrité, la confidentialité et la disponibilité des services en ligne (le fameux modèle CIA que vous avez certainement découvert dès votre première année d’études en administration réseau). 

Ce dossier technique expose aux étudiants en cybersécurité les fondamentaux de la discipline : des évolutions historiques aux méthodologies actuelles, en passant par l’utilisation d’outils spécialisés. L’objectif est de développer une compréhension opérationnelle des vulnérabilités web et des techniques d’audit.

Chez Cybersup, vous serez exposés à ces outils et à ces méthodologies dès notre Bachelor 3.

Prenez donc un peu d’avance, ou révisez vos fondamentaux, en explorant le cadre général dans cet article !

‍

1. Historique : l’évolution des pratiques de sécurité web

‍

Aux débuts d’Internet, on peut estimer - sans trop d’exagération - que la sécurité restait quelque peu secondaire face aux enjeux de fonctionnalité.

Petite parenthèse pour les amateurs d'histoire de l'informatique, nombreux chez Cybersup : bien sûr, le hacking existait déjà de longue date ! A ma connaissance, on peut en fait en trouver ses prémices sur Arpanet, puis sur des réseaux tiers tels le Minitel ou ses équivalents étrangers. Ainsi, le premier virus date de 1971, à savoir aux tout débuts d'Arpanet ; il répondait alors au doux nom de Creeper, mais n'avait été conçu que pour tester les failles du système. Et en Europe, le premier "hack éthique" notable d'un réseau est celui du groupe allemand Chaos Computer Club, qui avaient soustrait l'équivalent de plus de 100 000 euros au réseau de la poste de la RFA, le Bildschirmtext, pour les rendre aussitôt. Où l'on voit d'ailleurs que les hackers des années 1970 /1980 étaient surtout versés dans le hacking éthique. Autre temps, autres moeurs...

Fermons la parenthèse.

Quoi qu'il en soit, la fréquence des premières cyberattaques, à l'orée des années 1990, était sans commune mesure avec ce que nous avons connu ces dernières années. Jusqu'à la fin des années 1990, les sites web, majoritairement statiques, ont donc été développés par des webmasters sans considération approfondie pour les risques de sécurité.

En revanche, les premières vulnérabilités significatives (injections SQL, XSS) documentées dès le début des années 1990 ont réellement été exploitées à grande échelle à partir de la fin de la décennie, notamment avec la généralisation des sites interactifs. Les esprits chagrins diront qu'à l'époque, les DSI se préoccupaient davantage d'autres sujets, tels le "bug de l'an 2000"...

C'est surtout l'essor du e-commerce et des transactions en ligne au début de notre siècle qui modifie la donne, en vérité. Elle induit une forte professionnalisation des attaquants, qui s'organisent progressivement en groupe structurés. Plus tard, aux côtés des cyber-criminels classiques, l'irruption de groupes étatiques ou para-étatiques d'un certain nombre de pays - Chine, Russie, Iran, Corée du Nord...- renforcera la menace et fera de l'attaque de sites web une véritable industrie de pointe, dotée de moyens considérables.

Face à cela, s'organisent également des mesures de défense. L'OWASP est créée en septembre 2001, par exemple. Cette communauté devient célèbre pour la publication de sa liste des vulnérabilités les plus critiques des applications web, le Top 10, qui devient une référence incontournable des pentesters.

Pour simplifier l’historique :

• Années 1990 : Sites statiques avec sécurité minimale
• 2000-2001 : L’essor du e-commerce impose des standards de sécurité plus stricts (vs. arrivée des premiers CMS, dont les failles de plus en plus exploitées allaient plutôt se révéler aller à l’encontre de cette tendance…)
• 2001 : Création de l’OWASP ; première version du Top 10 des vulnérabilités en 2003
• 2002-2007 : Développement des premiers outils d’audit automatisés (Nessus v2, Burp Suite)
• 2010-2023 : Standardisation des méthodologies d’audit et maturité des outils

L'anecdote : Le cas "Rain Forest Puppy" en 1999 illustre parfaitement les défis de cette époque.  Sous ce pseudonyme quelque peu attendrissant : Jeff Forristal, chercheur en sécurité informatique. Ce dernier découvre des vulnérabilités majeures dans le CMS open source PHPNuke, alors très utilisé. Il publie alors la "RFPolicy", une politique de divulgation qui établissait des lignes directrices pour signaler les failles de sécurité aux éditeurs de logiciels avant de les rendre publiques. Il s'agit à l'époque du premier cadre formel pour la notification des failles de sécurité aux développeurs avant publication. Ce moment marque un tournant dans la professionnalisation de la sécurité web. (Source : CERT/CC, “A Brief History of Vulnerability Disclosure”).

Nous sommes donc arrivés à une phase où les cyberattaques deviennent extrêmement fréquentes. En conséquence, les audits de site web deviennent également plus systématiques. Au cœur de ces audits, il y a un bon nombre d’outils : nous nous sommes efforcés de vous présenter les principaux, leurs usages, avec un tableau comparatif pour guider leur sélection. 

Tous ne sont pas adaptés aux pentesters débutants…mais comme vous pouvez le constater dans nos maquettes pédagogiques (B3 Cyber ici, MSc Cyber là), vous les explorerez amplement dans les cursus de Cybersup.

‍

2. L'arsenal technique moderne

2.1. Burp Suite

Le nom sonne aussi peu bien en français que l’outil est incontournable ! Mais c’est un point assez secondaire. Burp Suite est largement utilisé par les experts en cybersécurité, les pentesters et les développeurs soucieux de la robustesse de leurs applications. Il permet notamment d’intercepter les requêtes envoyées à un site web - une fois configuré comme un proxy - ce qui permet de simuler des attaques de type “man in the middle”. Mais il sait aussi effectuer des scans de vulnérabilité, à l'instar d'OWASP ZAP (cf ci-après).

Fonction : Proxy d’interception et analyse des requêtes HTTP/HTTPS

Applications concrètes :

• Détection d’injections SQL via les réponses du serveur
• Identification des vulnérabilités CSRF par analyse des mécanismes d’authentification
• Examen des JWT et des sessions

Mode d’emploi : Configurer le proxy sur 127.0.0.1:8080 et paramétrer le navigateur en conséquence. Utiliser le module Spider pour cartographier l’application avant l’analyse ciblée.

L’anecdote : Dans le rapport HackerOne 2018, 30% des hackers indiquent utiliser BurpSuite. Chiffre sans doute sous-estimé désormais...

‍

2.2. OWASP ZAP

Fonction : Scanner de vulnérabilités open-source

Points forts :

• Détection automatisée des XSS et CSRF
• Mode d’attaque automatique ou dirigé
• Intégration CI/CD possible

Mode d’emploi : Limiter les analyses aux segments pertinents de l’application pour réduire les faux positifs. Combiner avec des tests manuels pour maximiser la couverture.

L’anecdote : Selon une étude du NIST en 2021, l’intégration de ZAP dans les pipelines CI/CD réduit en moyenne de 65 % le coût de correction des vulnérabilités grâce à leur détection précoce. Cependant, le taux de faux positifs reste élevé (environ 35 %), soulignant l’importance d’une validation manuelle. (Source : NIST Special Publication 800-218, “Secure Software Development Framework”)

Commentaire d’expert :

“Les scanners comme OWASP ZAP sont excellents pour repérer les failles évidentes, mais ils ne remplacent pas l’intuition humaine. Une vulnérabilité logique, comme une faille dans un workflow de paiement, ne sera jamais détectée par un outil automatisé. Apprenez à penser comme un attaquant.” - John Hammond, pentester et créateur de contenu, dans une vidéo YouTube (2024). (Source : YouTube, John Hammond, “Why Automated Scanners Aren’t Enough for Web Pentesting”, 2024)

‍

2.3. Nmap

Fonction : Scanner de ports et découverte réseau

Commandes essentielles :

• nmap -sS -p- -T4 domaine.cible # Scan SYN furtif sur tous les ports
• nmap -sV -sC domaine.cible # Détection de versions et scripts par défaut

Optimisation : Utiliser des options comme --script vuln pour détecter automatiquement certaines vulnérabilités connues.

Application pratique documentée : Dans l’incident de sécurité Equifax de 2017, les attaquants ont exploité une instance Apache Struts non patchée. Un simple scan Nmap avec détection de version aurait révélé la vulnérabilité CVE-2017-5638. (Source : U.S. Government Accountability Office, “Equifax Data Breach: Report to Congressional Requesters”, 2018)

L’anecdote : Une course contre la montre face à TeamCity (2024)

En mars 2024, une entreprise de développement logiciel a frôlé la catastrophe lorsqu’une alerte a signalé une tentative d’exploitation de la vulnérabilité CVE-2024-27198 dans TeamCity, permettant un contournement d’authentification. L’équipe de sécurité a lancé un audit d’urgence, utilisant Nmap avec la commande nmap -sV -sC pour repérer les instances TeamCity exposées. 

Le scan a révélé que 80 % des serveurs n’étaient pas patchés, un oubli dû à une mauvaise gestion des mises à jour. En 48 heures, l’équipe a appliqué des correctifs et déployé un pare-feu d’application web (WAF), neutralisant la menace. Cette intervention rapide a évité une compromission potentielle de données sensibles. Cet exemple montre comment Nmap peut transformer une situation critique en succès défensif.

(Source : Rapid7, “TeamCity Vulnerability CVE-2024-27198: Analysis and Mitigation”, 2024)

‍

2.4. Metasploit Framework

Fonction : Validation de l’exploitabilité des vulnérabilités

Modules pertinents :

• auxiliary/scanner/http/ pour les scans web spécifiques
• exploit/multi/http/ pour les exploits contre serveurs web

Cadre légal : Utilisation strictement réservée aux environnements autorisés.

Considérations pratiques : Une analyse des logs de détection dans 150 entreprises réalisée par Mandiant en 2022 révèle que l’utilisation de Metasploit est détectée dans 92 % des cas par les solutions EDR modernes, contre seulement 31 % pour les exploits personnalisés. (Source : Mandiant M-Trends 2022)

Outils de reconnaissance

Exemples :

• Subfinder : Énumération de sous-domaines via diverses API
• Amass : Cartographie complète des assets web
• WhatWeb : Identification précise des technologies utilisées

Pratique recommandée : Créer des scripts d’automatisation combinant ces outils pour systématiser la phase de reconnaissance.

L’anecdote : D’après l’étude “State of Bug Bounty” de Bugcrowd (2022), les chercheurs en sécurité consacrent 36 % de leur temps à la reconnaissance. Les vulnérabilités sur des sous-domaines oubliés représentent 18 % des découvertes critiques. (Source : Bugcrowd, “The State of Bug Bounty 2022”)

‍

2.5. Bilan : tableau comparatif des outils d’audit

‍

3. Méthodologie structurée d’audit web

‍

3.1. Diagramme de flux de la méthodologie

Bon, nous avons vu les outils. Mais concrètement, comment procéder ?

De manière classique, le processus d’audit de site web tient en 5 à 6 étapes… enfin, sans compter les boucles de rétroaction ! Cf schéma suivant :

‍

3.2. Etape #1 : Reconnaissance active et passive

Objectifs précis :

• Identifier tous les points d’entrée (sous-domaines, API, formulaires)
• Cartographier les technologies utilisées
• Analyser les éléments publics (robots.txt, sitemap.xml, métadonnées)

Métriques de réussite : Couverture à 100 % des sous-domaines et des points d’entrée.

Impact mesurable : Une étude de PortSwigger (2023) sur 50 audits web révèle que consacrer 25 % du temps à la reconnaissance (contre 10 % habituellement) augmente de 40 % les découvertes de vulnérabilités critiques. (Source : PortSwigger Research, “Effective Web Application Security Assessment”, 2023)

L’anecdote : Une PME e-commerce sous pression (2024)

En 2024, une PME canadienne du e-commerce a reçu un avertissement inquiétant : des tentatives d’intrusion répétées sur son site. Paniquée, l’équipe a engagé un audit de sécurité web. La phase de reconnaissance, menée avec Subfinder et Amass, a été une révélation : plusieurs sous-domaines oubliés, hébergeant des applications obsolètes, étaient des portes ouvertes pour des attaques XSS. L’audit a dénombré 12 vulnérabilités critiques, dont 8 liées à ces sous-domaines. En quelques semaines, la PME a fermé les sous-domaines inutiles, mis à jour les logiciels, et ajouté des headers CSP, réduisant sa surface d’attaque de 70 %. Cette histoire montre comment une reconnaissance minutieuse peut transformer une situation vulnérable en une forteresse numérique.

(Source : helloDarwin, “Étude de cas : Audit de cybersécurité pour une PME”, 2024)

Commentaire d’expert :

“La reconnaissance est comme les fondations d’une maison : si vous la bâclez, tout s’effondre. J’ai vu des audits échouer parce que les équipes ont sous-estimé l’importance de cartographier tous les sous-domaines et endpoints. Consacrez-y du temps, et les vulnérabilités critiques viendront à vous.”

— Katie Paxton-Fear (@katiep_sec), chercheuse en sécurité, dans une interview pour The CyberWire (2024). (Source : The CyberWire, “Bug Bounty Insights with Katie Paxton-Fear”, 2024)

‍

 3.3. Etape #2 : Analyse des vulnérabilités

Techniques spécifiques :

• Tests d’injections paramétrées sur chaque entrée utilisateur
• Vérification des contrôles d’accès horizontaux et verticaux
• Analyse des headers de sécurité (CSP, X-XSS-Protection)

Pratique recommandée : Combiner scans automatisés et tests manuels pour éviter les angles morts.

L’anecdote : Selon le rapport Veracode “State of Software Security” (2023), 74% des applications présentaient au moins une faille de sécurité découverte dans les 12 derniers mois ; pour 69% des applications, cette vulnérabilité fait partie de la liste du Top 10 OWASP. (Source : Veracode, “State of Software Security 2023”)

‍

3.4. Etape #3 : Exploitation contrôlée

Approche technique :

• Confirmer l’exploitabilité par des tests non destructifs
• Documenter chaque étape de l’exploitation
• Mesurer l’impact réel de la vulnérabilité

Standards de documentation : Captures d’écran, logs de requêtes, code d’exploitation neutralisé.

L’anecdote : Une enquête du SANS Institute (2022) montre que 76 % des organisations avec un processus formalisé d’exploitation contrôlée rencontrent moins de désaccords avec les équipes de développement sur la gravité des failles. (Source : SANS Institute, “Effective Vulnerability Management Processes”, 2022)

‍

3.5. Etape #4 : Rédaction du rapport technique

Structure efficace :

• Synthèse exécutive pour les décideurs
• Détail technique pour chaque vulnérabilité (CVSS, preuves, contexte)
• Recommandations concrètes de correction

Format recommandé : Présentation hiérarchisée par niveau de risque (CVSS) avec code correctif suggéré.

Bonnes pratiques : Une analyse dans le Journal of Cybersecurity (2022) montre que les rapports avec des exemples de code correctif ont un taux de résolution de 73 % après 30 jours, contre 42 % pour les rapports textuels. (Source : Journal of Cybersecurity, “Effectiveness of Security Audit Reports on Vulnerability Remediation”, Vol. 8, 2022)

‍

3.6. Etape #5 : Validation des corrections

Processus rigoureux :

• Retester spécifiquement chaque vulnérabilité corrigée
• Vérifier l’absence d’effets secondaires
• Valider l’application des bonnes pratiques dans le code

Indicateur de succès : Conformité à 100 % avec les recommandations initiales.

Retour d’expérience : Selon le FIRST, 24 % des vulnérabilités “corrigées” restent incomplètes au premier correctif, un phénomène appelé “security whack-a-mole”. (Source : FIRST.org, “Vulnerability Coordination and Remediation Best Practices”, 2023)

‍

3. Références techniques et ressources d’approfondissement

N'oubliez jamais cette très célèbre citation en cyber, du cryptologue Bruce Schneier (aussi étrange que cela puisse paraître, il s'agit bien de l'équivalent de Chuck Norris en cybersécurité) : “Security is a process, not a product.”

En résumé : la cyber est un processus d'amélioration continue ! Et pour poursuivre ce processus, nous vous recommandons les lectures suivantes :

Ressources spécialisées :

• The Web Application Hacker’s Handbook (Stuttard & Pinto) : Chapitres 1-3 pour la méthodologie, 4-9 pour les techniques avancées
• Metasploit: The Penetration Tester’s Guide (Kennedy et al.) : Focus sur les chapitres 6-8 pour l’exploitation web
• Plateforme OWASP WebGoat : Environnement pratique pour tester les vulnérabilités web
• Certification recommandée : OSCP, bien sûr, pour une validation des compétences en exploitation (NB : Cybersup vous co-finance la certification en MSc Cyber, en cas de succès !)

Tutoriels et plateformes pratiques :

• TryHackMe – Web Fundamentals : Labs interactifs pour pratiquer les audits web (injections SQL, XSS, reconnaissance). Idéal pour débutants. (tryhackme.com)
• PortSwigger Web Security Academy : Défis gratuits sur les vulnérabilités OWASP Top 10, avec tutoriels sur Burp Suite. (portswigger.net/web-security)
• YouTube – Hak5 : Web Application Pentesting Series : Vidéos pédagogiques (2023-2024) sur OWASP ZAP et Metasploit. (youtube.com/@Hak5)
• Guide OWASP : Testing Guide v4.2 (2023) : Checklists et méthodologies d’audit web. (owasp.org/www-project-web-security-testing-guide)

‍

4. Conclusion

L’audit de sécurité web exige une combinaison de rigueur méthodologique, de maîtrise technique des outils et de compréhension approfondie des vulnérabilités. En adoptant l’approche structurée présentée dans ce dossier, vous développerez une expertise opérationnelle immédiatement applicable sur le terrain.

Nous ne sommes qu'au début de l'aventure. Comme nous l'avons vu dans la section historique, le web évolue, et les types d'attaque avec. Avec le serverless, la virtualisation, les API Rest, de nouvelles attaques émergent et de nouvelles pratiques sont à mettre en oeuvre dans les audits de sécurité web.

L’évolution constante des menaces impose donc une veille technique permanente et une pratique régulière sur des environnements comme TryHackMe ou HackTheBox pour rester à la pointe. Mais cela, votre responsable pédagogique Cybersup vous en parlera en temps voulu !

‍