Qu'est-ce qu'un pentest web et pourquoi en faire un ?
Un test d'intrusion applicatif web (pentest web) est une simulation d'attaque contrôlée sur une application web ou une API, réalisée par un expert en sécurité offensive. L'objectif est d'identifier les vulnérabilités exploitables avant qu'un attaquant ne le fasse, en reproduisant les techniques utilisées lors d'attaques réelles.
Contrairement à un scan automatisé de vulnérabilités, un pentest manuel va beaucoup plus loin, il enchaîne les vulnérabilités, contourne les mécanismes de protection, et évalue l'impact réel d'une compromission. En 2025, avec la généralisation des architectures API-first et microservices, la surface d'attaque des applications web n'a jamais été aussi grande.
Les scanners automatisés (Nessus, Qualys, Burp Scanner) détectent environ 30 à 40% des vulnérabilités réelles. Un pentester expérimenté identifie les 60 à 70% restants, notamment les vulnérabilités logiques, les erreurs d'autorisation et les chaînes d'exploitation complexes qui nécessitent un raisonnement humain.
La méthodologie de pentest web en 5 phases
| Phase | Activités clés | Livrables |
|---|---|---|
| 1. Reconnaissance | Cartographie de l'application, énumération des endpoints, analyse des technologies (stack technique, frameworks, CMS) | Surface d'attaque documentée |
| 2. Modélisation des menaces | Identification des flux sensibles, des rôles utilisateur, des mécanismes d'authentification et des données traitées | Threat model, cas d'abus |
| 3. Exploitation | Tests manuels des vulnérabilités OWASP, exploitation des failles découvertes, élévation de privilèges | Preuves d'exploitation (PoC) |
| 4. Post-exploitation | Mouvement latéral si l'application est liée à d'autres systèmes, exfiltration de données simulée, persistance | Évaluation de l'impact réel |
| 5. Rapport | Rapport technique (pour les devs) + résumé exécutif (pour le management), recommandations priorisées, plan de remédiation | Rapport complet + retest |
OWASP Top 10 2025, les vulnérabilités à tester en priorité
L'OWASP (Open Web Application Security Project) publie régulièrement la liste des 10 risques les plus critiques pour la sécurité des applications web. En 2025, voici les vulnérabilités incontournables à couvrir lors de tout pentest
- A01, Broken Access Control. Défauts d'autorisation permettant à un utilisateur d'accéder à des ressources ou fonctions non autorisées (IDOR, privilege escalation, CORS mal configuré). Reste la vulnérabilité n°1 selon OWASP.
- A02, Cryptographic Failures. Données sensibles exposées en clair, algorithmes de chiffrement faibles (MD5, SHA1), mauvaise gestion des clés, absence de TLS strict.
- A03, Injection. SQL Injection, NoSQL Injection, LDAP Injection, Command Injection. Toujours présentes malgré les ORM modernes, notamment via des fonctionnalités de recherche avancée.
- A04, Insecure Design. Failles architecturales et logiques, comme l'absence de rate limiting, des flux métier contournables, l'absence de validation côté serveur.
- A05, Security Misconfiguration. Headers de sécurité absents (CSP, HSTS), comptes par défaut actifs, messages d'erreur verbeux exposant la stack technique, services d'administration exposés.
- A06, Vulnerable Components. Bibliothèques et frameworks avec des CVE connues non patchées. Critique dans les écosystèmes npm, pip, Maven.
- A07, Identification et Authentication Failures. Absence de MFA, tokens JWT mal vérifiés (alg, none), sessions non invalidées après logout, bruteforce sans lockout.
- A08, Software et Data Integrity Failures. Dépendances non vérifiées (supply chain), désérialisation non sécurisée, CI/CD pipelines exposés.
- A09, Security Logging et Monitoring Failures. Absence de logs sur les événements sensibles (échecs d'auth, accès administrateur), pas d'alerting temps réel.
- A10, SSRF (Server-Side Request Forgery). L'application effectue des requêtes vers des ressources internes (metadata AWS, services internes) contrôlées par l'attaquant.
Focus, exploiter une IDOR (Insecure Direct Object Reference)
Les IDOR sont les vulnérabilités les plus fréquentes dans nos missions de pentest en France. Le scénario type, un utilisateur peut accéder aux données d'un autre utilisateur en modifiant simplement un identifiant dans une requête.
Correction valider côté serveur que l'identifiant dans la requête correspond bien à l'utilisateur authentifié, via le token et non via un paramètre contrôlable par l'utilisateur.
Outils utilisés lors d'un pentest web professionnel
| Catégorie | Outil | Usage |
|---|---|---|
| Proxy d'interception | Burp Suite Pro | Interception, modification, replay de requêtes HTTP/S, indispensable |
| Reconnaissance | ffuf, feroxbuster | Fuzzing de répertoires et endpoints cachés |
| SQL Injection | sqlmap | Détection et exploitation automatisée des injections SQL |
| Analyse JS | LinkFinder, JSParser | Extraction d'endpoints et de secrets depuis les fichiers JS |
| JWT | jwt_tool | Tests alg, none, signature confusion, bruteforce de secret |
| SSRF | Collaborator (Burp) | Détection de SSRF blind et interaction hors-bande |
| Scan de CVE | Nuclei | Templates CVE sur les composants identifiés |
En France, réaliser un pentest sans autorisation écrite préalable du propriétaire du système constitue un délit pénal (art. 323-1 du Code pénal). Tout pentest doit faire l'objet d'une lettre d'autorisation signée précisant le périmètre, les dates et les techniques autorisées. ONYX-CYBER fournit ce document systématiquement avant toute mission.
Que contient un rapport de pentest web professionnel ?
Un rapport de pentest de qualité doit permettre à la fois aux équipes techniques de corriger les vulnérabilités et au management d'évaluer le risque business. Il comprend systématiquement
- Résumé exécutif, niveau de risque global, nombre de vulnérabilités par criticité (critique / haute / moyenne / faible), impacts business potentiels
- Périmètre et méthodologie, URLs testées, type de test (boîte noire / grise / blanche), outils utilisés, durée
- Vulnérabilités détaillées, pour chaque finding, description, score CVSS v3.1, preuve d'exploitation (screenshots, requêtes HTTP), impact, recommandation de correction
- Plan de remédiation priorisé, corrections classées par urgence avec effort estimé
- Retest inclus, vérification des corrections après livraison du rapport
Besoin d'un pentest web sur votre application ?
ONYX-CYBER réalise des tests d'intrusion applicatifs certifiés, Web, API REST/GraphQL, mobile. Rapport détaillé avec retest inclus. Devis sous 24h.
Demander un devis pentest Notre offre pentest →