%20--%3e%3ccircle%20cx='32'%20cy='32'%20r='30'%20fill='rgba(99,102,241,0.05)'%20stroke='url(%23icon-gradient)'%20stroke-width='1.5'/%3e%3c!--%20Left%20bracket%20%3c%20--%3e%3cpath%20d='M12%2020L4%2032L12%2044'%20stroke='url(%23icon-gradient)'%20stroke-width='4'%20stroke-linecap='round'%20stroke-linejoin='round'%20fill='none'/%3e%3c!--%20Central%20E%20--%3e%3cpath%20d='M22%2018H42V24H28V29H40V35H28V40H42V46H22V18Z'%20fill='url(%23icon-accent)'/%3e%3c!--%20Right%20bracket%20%3e%20--%3e%3cpath%20d='M52%2020L60%2032L52%2044'%20stroke='url(%23icon-gradient)'%20stroke-width='4'%20stroke-linecap='round'%20stroke-linejoin='round'%20fill='none'/%3e%3c!--%20Decorative%20dots%20--%3e%3ccircle%20cx='32'%20cy='10'%20r='2'%20fill='%23818CF8'%20opacity='0.7'/%3e%3ccircle%20cx='32'%20cy='54'%20r='2'%20fill='%236366F1'%20opacity='0.7'/%3e%3c/svg%3e){kind=small}
Guide des vulnérabilités de sécurité
Comprendre et corriger les vulnérabilités web courantes détectées par VitaPulse
En-têtes de sécurité HTTP
Les en-têtes de sécurité indiquent aux navigateurs d'activer des mécanismes de protection intégrés, protégeant vos utilisateurs contre les attaques courantes.
Élevé
Strict-Transport-Security (HSTS)
Force les navigateurs à se connecter exclusivement en HTTPS, empêchant les attaques par rétrogradation de protocole et le détournement de cookies.
Élevé
Content-Security-Policy (CSP)
Définit quelles sources de contenu peuvent être chargées par le navigateur, empêchant les attaques XSS et l'injection de données.
Élevé
X-XSS-Protection
Active le filtre XSS intégré du navigateur pour détecter et bloquer les attaques par scripts intersites réfléchis.
Moyen
X-Content-Type-Options
Empêche les navigateurs de deviner (MIME sniffing) le type de contenu d'une réponse, les forçant à respecter le Content-Type déclaré.
Moyen
X-Frame-Options
Contrôle si votre site peut être intégré dans des iframes, protégeant contre les attaques de clickjacking.
Faible
Referrer-Policy
Contrôle la quantité d'information de référent envoyée lors de la navigation depuis votre site vers un autre.
Faible
Permissions-Policy
Contrôle quelles fonctionnalités et APIs du navigateur (caméra, micro, géolocalisation, etc.) peuvent être utilisées par votre site et le contenu embarqué.
Faible
Cross-Origin-Opener-Policy (COOP)
Isole votre contexte de navigation des fenêtres cross-origin, les empêchant d'accéder à votre objet window.
Faible
Cross-Origin-Resource-Policy (CORP)
Contrôle quelles origines peuvent charger vos ressources (images, scripts, etc.), empêchant les lectures cross-origin non autorisées.
Faible
Cross-Origin-Embedder-Policy (COEP)
Exige que toutes les ressources chargées par votre page acceptent explicitement d'être chargées en cross-origin, permettant l'isolation complète du site.
Certificat TLS / SSL
TLS (Transport Layer Security) chiffre la connexion entre les utilisateurs et votre serveur. Les mauvaises configurations de certificat et les protocoles obsolètes exposent votre site à l'interception et au vol de données.
Élevé
Protocole TLS faible (TLS 1.0 / 1.1)
Votre serveur supporte des versions obsolètes de TLS (1.0 ou 1.1) qui présentent des faiblesses cryptographiques connues.
Élevé
Algorithme de signature de certificat faible
Votre certificat SSL/TLS utilise un algorithme de signature faible (comme SHA-1 avec RSA PKCS#1) vulnérable aux attaques par collision.
Élevé
Certificat SSL/TLS expiré
Votre certificat SSL/TLS a expiré ou expirera dans les 30 prochains jours.
Moyen
Certificate Transparency manquant
Votre certificat SSL n'inclut pas d'informations Certificate Transparency (CT), rendant plus difficile la détection de certificats mal émis.
Faible
Pas d'Encrypted Client Hello (ECH)
Votre serveur ne supporte pas Encrypted Client Hello, ce qui signifie que le nom de domaine (SNI) est visible pendant la poignée de main TLS.
Audits de sécurité Lighthouse
Google Lighthouse effectue des vérifications de sécurité automatisées qui identifient les mauvaises configurations courantes et les pratiques non sécurisées sur votre site web.
Élevé
Site non servi en HTTPS
Votre site web est accessible en HTTP non chiffré, ce qui signifie que toutes les données entre les utilisateurs et votre serveur sont transmises en clair.
Élevé
Pas de redirection HTTP vers HTTPS
Votre serveur ne redirige pas les requêtes HTTP vers HTTPS, permettant aux utilisateurs d'accéder au site via une connexion non sécurisée.
Élevé
CSP inefficace contre le XSS
Votre Content Security Policy est absente ou ne prévient pas efficacement les attaques de type cross-site scripting.
Moyen
Pas de politique Trusted Types
Votre site n'utilise pas Trusted Types, une API navigateur qui empêche les attaques XSS basées sur le DOM.
Moyen
Permission géolocalisation au chargement
Votre site demande la permission de géolocalisation immédiatement au chargement de la page, avant toute interaction utilisateur.
Moyen
Permission notification au chargement
Votre site demande la permission de notification immédiatement au chargement de la page, avant toute interaction utilisateur.
Faible
Pas d'isolation cross-origin
Votre site n'est pas isolé en cross-origin, ce qui l'empêche d'utiliser des APIs performantes et le rend plus vulnérable aux attaques par canal auxiliaire.
Exposition des versions logicielles
Exposer les versions logicielles dans les en-têtes HTTP ou le code source HTML donne aux attaquants une feuille de route des vulnérabilités connues à exploiter.
Moyen
Version du serveur exposée
L'en-tête HTTP 'Server' de votre serveur révèle le nom et la version du logiciel (ex : Apache/2.4.41, nginx/1.18.0).
Moyen
En-tête X-Powered-By exposé
Votre serveur envoie un en-tête 'X-Powered-By' révélant la technologie backend et sa version (ex : PHP/7.4, Express, ASP.NET).
Moyen
Version du CMS exposée
La version de votre CMS (WordPress, Drupal, Joomla, etc.) est visible dans les balises meta, le code source HTML ou les patterns d'URL.
Faible
Version du framework JavaScript exposée
La version de votre framework frontend (React, Vue, Angular, jQuery, etc.) est détectable via les patterns du code source, les variables globales ou les fichiers de bibliothèque.