Module Pentest & Audit de securite
ObsCyber CyberLex Platform — Acces restreint
Avertissement legal obligatoire
Ce module permet d'effectuer un audit automatise de la surface de securite HTTP d'une application web. Il analyse les en-tetes, la configuration TLS, les cookies et les ports exposes d'une URL cible.
⚠ Usage exclusivement autorise. L'utilisation de cet outil sur un site
dont vous n'etes pas proprietaire ou pour lequel vous ne disposez pas d'une
autorisation ecrite explicite constitue une infraction penale.
Cadre penal applicable — Code penal francais
Art. 323-1 CP
Acces frauduleux a un STAD — jusqu'a 3 ans et 100 000 €
Art. 323-2 CP
Entrave au fonctionnement — jusqu'a 5 ans et 150 000 €
Art. 323-3 CP
Extraction frauduleuse de donnees — jusqu'a 5 ans et 150 000 €
RGPD Art. 32
Obligation de securite — sanctions CNIL jusqu'a 20 M€
Engagement de l'utilisateur
Code d'acces — 12 chiffres
🔒 Acces verrouille — Trop de tentatives incorrectes.
Veuillez recharger la page ou contacter l'administrateur.
Veuillez recharger la page ou contacter l'administrateur.
// Module securite — ObsCyber CyberLex Platform
Audit Pentest & Securite Web
Evaluez la posture de securite d'une application web en quelques secondes. Ce module analyse automatiquement les en-tetes HTTP, la configuration TLS/HTTPS, les cookies, les politiques CORS et les vecteurs d'attaque courants, puis genere un rapport PDF professionnel conforme aux standards OWASP Top 10 et NIS2.
🎓
Guide pedagogique — comprendre le pentest
Un test d'intrusion (pentest) est une evaluation de securite autorisee simulant les actions d'un attaquant reel. L'objectif est d'identifier les vulnerabilites avant leur exploitation malveillante.
Trois approches existent :
Trois approches existent :
- Black box — aucune information prealable (simulation realiste)
- Grey box — informations partielles (documentation, comptes de test)
- White box — acces complet au code source et a l'architecture
Black/Grey box automatise de la surface HTTP publique.
HTTPS/TLS— presence du chiffrementHTTP→HTTPS— redirection automatiqueHSTS— force HTTPS au niveau navigateurCSP— protection contre les injections XSSX-Frame-Options— anti-clickjackingX-Content-Type— prevention MIME sniffingReferrer-Policy— controle des fuites d'URLPermissions-Policy— restriction API navigateurServer header— fingerprinting serveurX-Powered-By— divulgation de technologieCORS— politique d'acces inter-originesCache-Control— prevention de mise en cache sensibleCookies Secure— flag Secure sur les cookiesCookies HttpOnly— protection vol de sessionCookies SameSite— protection CSRF via cookiesCode HTTP— detection des erreurs serveurSSL Expiry— expiration du certificat SSLVersion TLS— TLS 1.0/1.1 obsoletes detectessecurity.txt— politique de divulgation responsablerobots.txt— chemins sensibles exposesPorts— services d'administration accessibles
- 🔴 Critical — risque immediat, correctif avant mise en production
- 🟠 High — vulnerabilite serieuse, traitement sous 72h
- 🟡 Medium — risque modere, corriger dans le sprint suivant
- 🟢 Low — bonne pratique manquante, correction opportuniste
- 🔵 Info — observation, aucun risque direct
Cet outil analyse uniquement les en-tetes HTTP publics, sans intrusion.
Les recommandations s'appuient sur :
- OWASP Top 10 2021
- OWASP ASVS — Application Security Verification Standard
- RFC 6797 — HSTS
- RGPD art. 32 — securite des donnees
- NIS2 art. 21 — gestion des risques cyber
⚠ N'auditez que les sites dont vous etes proprietaire. L'acces non autorise est reprime par les art. 323-1 a 323-7 CP (jusqu'a 3 ans et 100 000 € d'amende).
Ce scanner analyse la surface HTTP externe. Il ne detecte pas :
- Les injections SQL, XSS ou IDOR (necessitent une interaction applicative)
- Les failles d'authentification (sessions, JWT, OAuth)
- Les vulnerabilites de dependances logicielles (CVE)
- Les misconfigurations serveur internes (SSH, FTP, bases de donnees)
- La logique metier defaillante
Burp Suite, OWASP ZAP ou Nmap.
🔎
Lancer un audit — saisir la cible
Initialisation...
⚠ Avertissement legal : N'auditez que les sites dont vous etes responsable ou pour lesquels vous disposez d'une autorisation ecrite. Toute intrusion non autorisee est un delit penal (art. 323-1 CP).
Aucun audit effectue
Saisissez une URL et cliquez sur Lancer l'audit
pour generer votre rapport de securite.