Qu'est-ce qu'un pentest web et pourquoi en faire un ?

Un test d'intrusion applicatif web (pentest web) est une simulation d'attaque contrôlée sur une application web ou une API, réalisée par un expert en sécurité offensive. L'objectif est d'identifier les vulnérabilités exploitables avant qu'un attaquant ne le fasse, en reproduisant les techniques utilisées lors d'attaques réelles.

Contrairement à un scan automatisé de vulnérabilités, un pentest manuel va beaucoup plus loin, il enchaîne les vulnérabilités, contourne les mécanismes de protection, et évalue l'impact réel d'une compromission. En 2025, avec la généralisation des architectures API-first et microservices, la surface d'attaque des applications web n'a jamais été aussi grande.

💡 Pentest vs Scan automatisé

Les scanners automatisés (Nessus, Qualys, Burp Scanner) détectent environ 30 à 40% des vulnérabilités réelles. Un pentester expérimenté identifie les 60 à 70% restants, notamment les vulnérabilités logiques, les erreurs d'autorisation et les chaînes d'exploitation complexes qui nécessitent un raisonnement humain.

La méthodologie de pentest web en 5 phases

PhaseActivités clésLivrables
1. ReconnaissanceCartographie de l'application, énumération des endpoints, analyse des technologies (stack technique, frameworks, CMS)Surface d'attaque documentée
2. Modélisation des menacesIdentification des flux sensibles, des rôles utilisateur, des mécanismes d'authentification et des données traitéesThreat model, cas d'abus
3. ExploitationTests manuels des vulnérabilités OWASP, exploitation des failles découvertes, élévation de privilègesPreuves d'exploitation (PoC)
4. Post-exploitationMouvement latéral si l'application est liée à d'autres systèmes, exfiltration de données simulée, persistanceÉvaluation de l'impact réel
5. RapportRapport technique (pour les devs) + résumé exécutif (pour le management), recommandations priorisées, plan de remédiationRapport complet + retest

OWASP Top 10 2025, les vulnérabilités à tester en priorité

L'OWASP (Open Web Application Security Project) publie régulièrement la liste des 10 risques les plus critiques pour la sécurité des applications web. En 2025, voici les vulnérabilités incontournables à couvrir lors de tout pentest

  • A01, Broken Access Control. Défauts d'autorisation permettant à un utilisateur d'accéder à des ressources ou fonctions non autorisées (IDOR, privilege escalation, CORS mal configuré). Reste la vulnérabilité n°1 selon OWASP.
  • A02, Cryptographic Failures. Données sensibles exposées en clair, algorithmes de chiffrement faibles (MD5, SHA1), mauvaise gestion des clés, absence de TLS strict.
  • A03, Injection. SQL Injection, NoSQL Injection, LDAP Injection, Command Injection. Toujours présentes malgré les ORM modernes, notamment via des fonctionnalités de recherche avancée.
  • A04, Insecure Design. Failles architecturales et logiques, comme l'absence de rate limiting, des flux métier contournables, l'absence de validation côté serveur.
  • A05, Security Misconfiguration. Headers de sécurité absents (CSP, HSTS), comptes par défaut actifs, messages d'erreur verbeux exposant la stack technique, services d'administration exposés.
  • A06, Vulnerable Components. Bibliothèques et frameworks avec des CVE connues non patchées. Critique dans les écosystèmes npm, pip, Maven.
  • A07, Identification et Authentication Failures. Absence de MFA, tokens JWT mal vérifiés (alg, none), sessions non invalidées après logout, bruteforce sans lockout.
  • A08, Software et Data Integrity Failures. Dépendances non vérifiées (supply chain), désérialisation non sécurisée, CI/CD pipelines exposés.
  • A09, Security Logging et Monitoring Failures. Absence de logs sur les événements sensibles (échecs d'auth, accès administrateur), pas d'alerting temps réel.
  • A10, SSRF (Server-Side Request Forgery). L'application effectue des requêtes vers des ressources internes (metadata AWS, services internes) contrôlées par l'attaquant.

Focus, exploiter une IDOR (Insecure Direct Object Reference)

Les IDOR sont les vulnérabilités les plus fréquentes dans nos missions de pentest en France. Le scénario type, un utilisateur peut accéder aux données d'un autre utilisateur en modifiant simplement un identifiant dans une requête.

# Requête légitime — utilisateur A consulte son profil GET /api/v1/users/1042/profile Authorization: Bearer eyJhbGciOiJIUzI1NiJ9... # Exploitation IDOR — l'attaquant modifie l'ID GET /api/v1/users/1001/profile Authorization: Bearer eyJhbGciOiJIUzI1NiJ9... # Si le serveur retourne les données de l'user 1001 → IDOR confirmé HTTP/1.1 200 OK {"id": 1001, "email": "pdg@entreprise.fr", "role": "admin", ...}

Correction valider côté serveur que l'identifiant dans la requête correspond bien à l'utilisateur authentifié, via le token et non via un paramètre contrôlable par l'utilisateur.

Outils utilisés lors d'un pentest web professionnel

CatégorieOutilUsage
Proxy d'interceptionBurp Suite ProInterception, modification, replay de requêtes HTTP/S, indispensable
Reconnaissanceffuf, feroxbusterFuzzing de répertoires et endpoints cachés
SQL InjectionsqlmapDétection et exploitation automatisée des injections SQL
Analyse JSLinkFinder, JSParserExtraction d'endpoints et de secrets depuis les fichiers JS
JWTjwt_toolTests alg, none, signature confusion, bruteforce de secret
SSRFCollaborator (Burp)Détection de SSRF blind et interaction hors-bande
Scan de CVENucleiTemplates CVE sur les composants identifiés
⚠ Cadre légal obligatoire

En France, réaliser un pentest sans autorisation écrite préalable du propriétaire du système constitue un délit pénal (art. 323-1 du Code pénal). Tout pentest doit faire l'objet d'une lettre d'autorisation signée précisant le périmètre, les dates et les techniques autorisées. ONYX-CYBER fournit ce document systématiquement avant toute mission.

Que contient un rapport de pentest web professionnel ?

Un rapport de pentest de qualité doit permettre à la fois aux équipes techniques de corriger les vulnérabilités et au management d'évaluer le risque business. Il comprend systématiquement

  • Résumé exécutif, niveau de risque global, nombre de vulnérabilités par criticité (critique / haute / moyenne / faible), impacts business potentiels
  • Périmètre et méthodologie, URLs testées, type de test (boîte noire / grise / blanche), outils utilisés, durée
  • Vulnérabilités détaillées, pour chaque finding, description, score CVSS v3.1, preuve d'exploitation (screenshots, requêtes HTTP), impact, recommandation de correction
  • Plan de remédiation priorisé, corrections classées par urgence avec effort estimé
  • Retest inclus, vérification des corrections après livraison du rapport

Besoin d'un pentest web sur votre application ?

ONYX-CYBER réalise des tests d'intrusion applicatifs certifiés, Web, API REST/GraphQL, mobile. Rapport détaillé avec retest inclus. Devis sous 24h.

Demander un devis pentest Notre offre pentest →