Audit web

L'audit se déroule en plusieurs phase :

  • L'analyse systémique du site,
  • La mise en place d'outils adaptés selon les composants logiciels et systèmes employés : framework, serveurs, cms,
  • L'analyse des différents composants du site via les outils mis en place,
  • L'analyse du code par un expert, certifié Développeur Symfony2 (certification Sensiolabs),
  • L'établissement d'un rapport d'audit

Selon le type d'analyse souhaitée, l'analyse du code et le rapport d'audit sera plus ou moins approfondi.

Les points d'analyse :

La Sécurité :

L'aspect le plus problématique est incontestablement la sécurité : L'analyse permet de vérifier si le site internet est vulnérable à toutes les attaques classiques d’application web et l’expose aux robots capables d’exploiter automatiquement les failles. Quelques failles parmi les plus problématiques :

  • Injections SQL : notre audit peut repéré plusieurs centaines de failles par injections SQL, permettant par exemple de récupérer des informations de la base de données comme le mot de passe administrateur
    https://www.owasp.org/index.php/SQL_Injection
  • Attaques CRSF : notre audit vérifie si les formulaires du sites sont vulnérables à attaque CRSF qui permet à quiconque d’usurper l’identité de l’administrateur et donc d’administrer le site internet ;
    https://www.owasp.org/index.php/CSRF
  • Failles XSS : notre audit vérifie si les pages du site internet sont vulnérables aux failles XSS permettant d’usurper l’identité de l’administrateur ;
    https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)
  • Chiffrement des mots de passe : notre audit vérifie si le chiffrement des mots de passe est effectué en utilisant des algorithmes qui apportent la sécurité nécessaire au stockage des mots de passe ;
    https://www.owasp.org/index.php/Glossary#CRAM
  • Affichage des erreurs : notre audit vérifie s'il est possible pour n’importe qui d’afficher les erreurs du code du site internet, donnant au pirate des informations cruciales sur le serveur comme son architecture interne, les versions des logiciels utilisés et des parties du code ; https://www.owasp.org/index.php/Full_Path_Disclosure
  • Versions *.bak des fichiers : notre audit vérifie si certains fichiers possèdent une version de sauvegarde en *.bak accessible au public et téléchargeable par les pirates, qui pourraient donc accéder au code du site internet ;
  • PHP : versions obsolètes de PHP (4.4 et 5.2);

 

Maintenabilité et propreté du code

Notre audit vérifie si le code utilise les standards et les conventions de développement. Nous vérifions ainsi s'il y a une cohérence dans le développement dans son organisation et son architecture pour qu’il ne soit pas trop complexe de comprendre et maintenir le système. Nous vérifions ainsi s'il existe :

  • des lignes de code dupliquées,
  • des fonctions non utilisées
  • des variables non utilisées
  • des erreurs graves sources d'erreurs bloquantes
  •  des fonctions de trop grande complexité (difficulté de maintenance)

Cet état est souvent le résultat du travail de nombreux développeurs qui sont intervenus à différentes étapes du développement sans qu’il n’y ait eu un suivi général ou un plan de développement.

De ce manque de lisibilité découlent de nombreux problèmes comme:

  • difficulté de corrections des problèmes existants ;
  • difficulté d’ajout de nouvelles fonctionnalités ;
  • difficulté d’adaptation du code aux nouvelles techniques de programmation ;

Ils peuvent également entraîner problèmes :

  •  d’indexation et de position dans les moteurs de recherche : un code complexe à comprendre pour Google entraîne inévitablement une perte de classement dans les résultats de recherche Google et donc diminue l’affluence du site internet ;
  • de performances qui peut impacter le confort de navigation et engendrer des problèmes en cas d’affluence ;

Nous vérifions enfin d'autres éléments plus spécifiques aux systèmes employés : frameworks, cms ou si le code utilise une architecture spécifique, interne au projet. 

Audit rapide

L' audit simple aura pour objectif de s'assurer que le code fourni par votre prestataire est de bonne qualité, qu'il ne présente pas les failles classiques, facilement exploitables. Il se conclut avec l'établissement d'un rapport synthétique sans préconisation. A partir de 390€ HT, il est adapté aux sites vitrine qui ne présentent pas de caractère critique pour l'activité de l'entreprise.

Audit approfondi

Pour un audit approfondi, les analyses du code seront plus poussées. Véritable travail d'expert, l'analyse du code permettra de trouver des failles plus subtiles et difficiles à exploitées par un hacker. L'audit se conclut par l'établissement d'un rapport détaillé des failles mises en lumière avec nos préconisations pour y remédier. Ce niveau est adapté à un site de vente en ligne qui présente un caractère critique pour l'activité de l'entreprise.

L'audit approfondi débute par un audit simple. A l'issu de cette première étape, si le code est de très mauvaise qualité et qu'il ne respecte pas un minimum de convention et de standards de développement, nous pourront éventuellement vous conseiller une réécriture complète du code toute en conservant tous les aspects graphiques et fonctionnels.

Les commentaires sont fermés.