Clickz

Sécurité

On a piraté une app en 6 minutes.

Clic droit. Code source. Ctrl+F. "apiKey". Leur clé Firebase était là, en clair. 3 005 utilisateurs. 880 événements. 86 DJs. Sur notre bureau. Sans forcer quoi que ce soit.

Ce qu'on a trouvé

23 lignes de code. 30 secondes. Toute la base de données.

La clé Firebase était exposée dans le JavaScript public. On a créé un compte anonyme sans vérification. En 30 secondes, on avait accès à toutes les données.

Noms, emails, dates de naissance, données de paiement, photos de profil. Tout était lisible par n'importe qui, sans mot de passe, sans authentification.

Le panneau d'administration était accessible publiquement. Le rôle admin était stocké dans le navigateur. N'importe qui pouvait se donner les droits admin.

3 005

Utilisateurs exposés

880

Événements extraits

6 min

Durée totale de l'attaque

17

Vulnérabilités identifiées

Les failles critiques

Ce qui pouvait mal tourner, et comment on le corrige.

Critique

Clés Firebase en clair dans le code

API key, projet ID, bucket de stockage, tout était visible dans le JavaScript servi au navigateur. N'importe qui pouvait les copier et les utiliser.

Critique

Base de données lisible sans authentification

Les règles Firebase autorisaient la lecture de toutes les collections. Un compte anonyme suffisait pour tout télécharger.

Critique

Admin côté navigateur

Le rôle admin était un simple texte dans le localStorage. Aucune vérification serveur. Le panneau admin était accessible publiquement avec toutes les routes exposées.

Élevé

Création de comptes illimitée

Pas de vérification email, pas de limite de fréquence, emails jetables acceptés. N'importe qui pouvait créer des centaines de faux comptes.

Élevé

Reset de mot de passe en masse

Avec les 3 005 emails extraits, on pouvait envoyer des vrais emails de reset Firebase à tous les utilisateurs. Parfait pour du phishing.

Élevé

Photos accessibles sans auth

Le bucket de stockage servait les fichiers publiquement via URL directe. Photos de profil, images d'événements, tout accessible.

Ce qu'on livre

On ne se contente pas de trouver les failles. On les ferme.

Audit de sécurité complet

On analyse votre application comme un attaquant le ferait. Code source, API, authentification, base de données, stockage, headers serveur. Chaque faille est documentée avec sa gravité, son impact concret et la marche à suivre pour la corriger.

Correction des vulnérabilités

Réécriture des règles de sécurité Firebase, verrouillage de l'authentification, migration de l'admin côté serveur, headers de sécurité, restriction des accès. On déploie les correctifs, pas juste un rapport.

Conformité RGPD

Si des données personnelles ont été exposées, on vous accompagne sur la notification à la CNIL (article 33), la communication aux utilisateurs (article 34) et la documentation de l'incident.

"On a reçu un audit de sécurité détaillé de Clickz. Leur analyse était précise et surtout actionnable. Ils ont identifié plusieurs vulnérabilités critiques qui auraient pu avoir des conséquences graves si elles étaient passées inaperçues. Sans leur intervention, ces failles seraient très probablement restées non détectées."

Jean-Emmanuel Stevens, Fondateur, Vibe Event Solutions