Les 10 failles qu'on trouve dans 90% des sites qu'on audite
On a audité des dizaines de sites et d'apps. Les mêmes failles reviennent à chaque fois. Voici les 10 plus fréquentes et comment les corriger avant qu'un attaquant ne les exploite.
On audite des sites et des apps depuis des années. Les mêmes failles reviennent. À chaque fois.
Voici les 10 qu'on trouve dans 90% des cas :
1. Clés API en clair dans le code source. Clic droit, Ctrl+F, "apiKey". C'est aussi simple que ça.
2. Pas de règles de sécurité sur la base de données. Firebase, Supabase, MongoDB : si vos règles sont en mode "test", tout le monde peut lire vos données.
3. Panel admin accessible sans authentification. On tape /admin dans l'URL et on tombe sur le dashboard. Ça arrive plus souvent qu'on croit.
4. Mots de passe stockés en clair. Pas hashés. En clair. Dans la base. En 2026.
5. Pas de rate limiting sur les formulaires. Un bot peut envoyer 10 000 requêtes par minute sur votre formulaire de contact ou de login.
6. Endpoints API sans vérification d'identité. N'importe qui peut appeler vos endpoints et récupérer des données qui ne lui appartiennent pas.
7. CORS configuré en wildcard. Votre API accepte les requêtes de n'importe quel domaine.
8. Fichiers sensibles exposés (.env, .git, backups). On les trouve avec une simple requête Google.
9. Injections SQL sur les formulaires de recherche. Le champ de recherche qui permet d'exécuter du code sur votre serveur.
10. Pas de HTTPS sur certaines pages. Le formulaire de paiement charge en HTTP. Les données transitent en clair.
Le point commun : aucune de ces failles n'est sophistiquée. Ce sont des erreurs de base. Mais elles exposent vos utilisateurs.
Votre site a peut-être 3 de ces failles en ce moment. Vous ne le savez juste pas.
