SSL ne protège pas votre application (et voici pourquoi)
Votre site a un cadenas vert. Vous pensez être protégé. Vous avez tort. SSL chiffre le transport, pas votre app. Voici ce que ça veut dire concrètement.
"On est protégés, on a SSL."
C'est la phrase qu'on entend le plus souvent quand on audite un site.
Et c'est la plus dangereuse.
SSL (le cadenas vert dans votre navigateur) chiffre la communication entre le navigateur et le serveur. C'est tout.
Ce que SSL ne fait pas :
- Il ne protège pas votre base de données
- Il ne sécurise pas vos endpoints API
- Il n'empêche pas quelqu'un d'accéder à votre panel admin
- Il ne vérifie pas qui appelle vos API
- Il ne protège pas les clés API dans votre code source
Une analogie simple : SSL, c'est un fourgon blindé qui transporte votre courrier. Si votre maison est grande ouverte, le fourgon blindé ne sert à rien.
L'app qu'on a auditée avait SSL. Certificat valide. Cadenas vert.
On a quand même récupéré 3 005 utilisateurs en 6 minutes. Parce que la clé Firebase était dans le code source et les endpoints n'avaient aucune protection.
SSL est nécessaire. Mais c'est la couche la plus basique de sécurité. C'est le minimum. Pas le maximum.
Ce qu'il faut en plus :
- Authentification sur chaque endpoint
- Règles de sécurité sur la base de données
- Clés API côté serveur, jamais côté client
- Rate limiting sur les formulaires
- Validation des données côté serveur
Votre site a le cadenas vert ? Bien. Maintenant, vérifions ce qu'il y a derrière.
