🔐 Problèmes SSL

❌ Certificat SSL expiré

Explication : Le certificat qui prouve que ton site est sécurisé n'est plus valable. C’est comme une carte d'identité périmée.

Solution : Connecte-toi à ton hébergeur (ex : OVH, IONOS...) ou utilise Let’s Encrypt pour le renouveler gratuitement.

❌ Certificat SSL invalide

Explication : Le certificat a été mal installé ou n’est pas reconnu par les navigateurs.

Solution : Vérifie que tu as bien installé tous les fichiers (certificat + clé + chaîne intermédiaire) via ton hébergeur ou SSL Labs.

🧱 En-têtes de sécurité HTTP

❌ Content-Security-Policy

Explication : Empêche le chargement de scripts externes non autorisés.

Solution : Ajoute : Content-Security-Policy: Ajoutez : `Content-Security-Policy: default-src 'self'`

❌ X-Frame-Options

Explication : Empêche l’intégration de ton site dans une iframe.

Solution : Ajoute : X-Frame-Options: Ajoutez : `X-Frame-Options: DENY`

❌ X-Content-Type-Options

Explication : Empêche le navigateur de deviner les types de fichier.

Solution : Ajoute : X-Content-Type-Options: Ajoutez : `X-Content-Type-Options: nosniff`

❌ Strict-Transport-Security

Explication : Force l’utilisation du HTTPS pour toutes les connexions futures.

Solution : Ajoute : Strict-Transport-Security: Ajoutez : `Strict-Transport-Security: max-age=31536000; includeSubDomains`

❌ Referrer-Policy

Explication : Contrôle les infos transmises entre les pages.

Solution : Ajoute : Referrer-Policy: Ajoutez : `Referrer-Policy: no-referrer`

❌ Permissions-Policy

Explication : Limite l’accès aux fonctionnalités sensibles (micro, caméra...).

Solution : Ajoute : Permissions-Policy: Ajoutez : `Permissions-Policy: geolocation=(), microphone=(), camera=()`

🕷️ Failles OWASP courantes

⚠️ Cookies non sécurisés

Explication : Un cookie sans "Secure" ou "HttpOnly" peut être volé ou modifié.

Solution : Configure tes cookies avec Secure et HttpOnly.

⚠️ X-Powered-By ou Server exposé

Explication : Ces infos révèlent le type de serveur, ce qui aide les hackers.

Solution : Supprime ces en-têtes dans ton serveur (Apache, Nginx...)

🔬 Analyse avancée

⚠️ Injection SQL

Explication : Des requêtes malveillantes peuvent manipuler ta base de données.

Solution : Utilise des requêtes préparées (ex : ? = ?) avec des ORM ou des instructions sécurisées.

⚠️ XSS (Cross-Site Scripting)

Explication : Un utilisateur peut injecter du code dans tes pages (ex : <script>).

Solution : Ne jamais afficher une donnée utilisateur sans l’échapper avec html.escape().

⚠️ CSRF (Cross-Site Request Forgery)

Explication : Quelqu’un peut te forcer à envoyer un formulaire à ton insu.

Solution : Ajoute un champ csrf_token et vérifie sa validité côté serveur.

⚠️ Fichiers sensibles accessibles

Explication : Des fichiers techniques comme .env ou .git sont visibles publiquement.

Solution : Interdis l’accès à ces fichiers avec ton serveur (ex : deny all dans Nginx).

📨 Emails d’alerte : pourquoi ?

SecureScan effectue deux types d’analyse :

• 🔁 Toutes les minutes : vérifie que ton site est en ligne et que ton certificat SSL est valide.
• 🧪 Toutes les 1 heure : analyse complète avec détection OWASP, headers manquants, XSS, CSRF, fichiers sensibles, etc.

Tu ne reçois un email que s’il y a un vrai problème nouveau détecté. Pas de spam inutile.

📣 Toujours bloqué ?

Écris-nous à securescan06@gmail.com ou passe par notre formulaire de contact. On répond vite, promis 🤝