Aller au contenu principal

Pentest Web : Plateforme e-commerce

PME e-commerce
3 jours
Application PHP
Pentest Web

Contexte de la mission

Le défi

Contexte

Une PME e-commerce souhaitait faire tester la sécurité de sa plateforme de vente en ligne. Le site traitait des paiements bancaires et gérait un espace client avec plusieurs niveaux d'accès.

Aucun test de sécurité n'avait été réalisé depuis la mise en ligne de la plateforme.

Objectifs

  • Identifier les failles permettant l'accès aux données sensibles (clients, paiements)
  • Vérifier la sécurité des mécanismes de connexion et de création de compte
  • Évaluer la sécurité de l'interface d'administration
  • Fournir un plan de correction priorisé

Déroulement

Découvertes clés

Périmètre testé

  • Parcours client complet (inscription, commande, paiement, espace personnel)
  • Interfaces de l'application (API)
  • Mécanismes de connexion et gestion de session
  • Interface d'administration

Méthodologie

Test d'intrusion en boîte grise suivant le référentiel OWASP Testing Guide complété par une analyse ciblée du code source sur les fonctions critiques (authentification, gestion des rôles, paiement).

Critique

Un utilisateur pouvait s'attribuer le rôle administrateur en modifiant sa requête d'inscription

Critique

Les clés de paiement étaient accessibles depuis l'interface d'administration

Élevé

Aucune journalisation des actions sensibles (connexions, modifications de rôles)

Critique

Absence de contrôle coté serveur sur le rôle attribué lors de la création de compte

Moyen

Absence d'authentification multifacteur sur les comptes administrateurs

Moyen

Plusieurs vulnérabilités identifiées dans le code source

Résultats

Bilan et recommandations

Bilan

15 vulnérabilités : 2 critiques, 3 élevées, 5 moyennes, 5 faibles

La faille la plus critique a été identifiée dès le premier jour : un simple utilisateur pouvait devenir administrateur à l'inscription et accéder aux clés de paiement.

L'absence de journalisation rendait impossible la détection d'une éventuelle exploitation antérieure de cette faille.

Les corrections ont été priorisées et un test de suivi a été recommandé.

Recommandations

  • Valider le rôle utilisateur coté serveur
  • Activer l'authentification multifacteur sur les comptes administrateurs
  • Mettre en place une journalisation des actions sensibles
  • Ne pas exposer les clés de paiement dans l'interface d'administration
  • Réaliser un test d'intrusion avant chaque mise en production majeure

Enseignements

Leçons apprises

  • La faille la plus critique était triviale à exploiter : modifier un champ dans la requête d'inscription suffisait à devenir administrateur
  • Sans journalisation, il est impossible de détecter une intrusion ou de comprendre ce qui s'est passé
  • Un test d'intrusion avant la mise en production aurait permis de détecter cette faille

Continuité

Prochaines étapes

  • Correction des failles critiques en priorité
  • Test d'intrusion de suivi pour valider les corrections
  • Mise en place d'une journalisation centralisée

Autres études de cas

Découvrez nos autres interventions en cybersécurité.

Un projet similaire ?

Contactez-nous pour un premier échange gratuit et un devis adapté à vos besoins.

Demander un devis Voir les services