Exemple Rapport Pentest & Audit Cybersécurité

1. Surface d'attaque (Réseau)

Port	Service	Version détectée	État
22	ssh	OpenSSH 7.6p1 Ubuntu (Vulnerable)	Open
80	http	Apache httpd 2.4.29	Open
443	https	Apache httpd 2.4.29	Open
3306	mysql	MySQL 5.7.33 (Exposed to public)	Open
8080	http-alt	Node.js Express Framework	Open

2. Configuration & Headers de Sécurité

En-têtes manquants (8) Critique

Analyse L'absence de ces en-têtes expose le site à des attaques de type XSS, Clickjacking et sniffing de contenu.

Content-Security-Policy Strict-Transport-Security X-Content-Type-Options X-Frame-Options Referrer-Policy Permissions-Policy X-XSS-Protection Server (Information Disclosure)

3. Injections SQL (1)

Injection SQL (Union Based) - Paramètre "id" CRITIQUE

URL Cible https://mon-entreprise.fr/products.php?id=1' OR 1=1--

Payload Détecté

' UNION SELECT 1, username, password FROM users --

Impact L'attaquant peut extraire l'intégralité de la base de données (mots de passe, emails clients).

4. Cross-Site Scripting (XSS) (2)

Reflected XSS - Barre de recherche Élevé

Preuve de concept https://mon-entreprise.fr/search?q=<script>alert(1)</script>

Description Le paramètre de recherche ne nettoie pas les entrées HTML, permettant l'exécution de JavaScript malveillant.

5. Vulnérabilités CMS (WordPress)

Utilisateurs Identifiés Reconnaissance

Comptes trouvés (Énumération) :

administrator
demo_user
editor

Plugin "Contact Form 7" < 5.3.2 - Upload de fichiers non restreint Élevé

Description Possibilité de contourner les restrictions de type de fichier et d'uploader un script PHP exécutable (Remote Code Execution).

CVE-2020-35489 →

WordPress Core < 5.8.3 - SQL Injection via WP_Query CRITIQUE

Description Faille critique dans le coeur de WordPress permettant l'injection SQL sur certaines installations.

CVE-2022-21661 →

Recommandations WordPress

[Haute] : Mettre à jour WordPress vers la version 6.8+ immédiatement.
[Haute] : Désactiver l'énumération des utilisateurs via le fichier functions.php.
[Moyenne] : Supprimer les plugins inactifs (Hello Dolly, Akismet version obsolète).

6. Découverte de contenu & Fichiers cachés

Analyse par fuzzing pour détecter des fichiers de configuration, backups ou interfaces d'administration non référencés.

Code	Chemin / Fichier	Niveau	Analyse
200	/.env	CRITIQUE	Fichier sensible accessible publiquement !
200	/backup.sql	CRITIQUE	Fichier sensible accessible publiquement !
301	/phpmyadmin	ÉLEVÉ	Interface d'administration de base de données exposée.
403	/.git/config	LOW	Dossier .git présent (Information Disclosure).
200	/config.php.bak	ÉLEVÉ	Fichier de sauvegarde de configuration accessible.
301	/dashboard	INFO	Dossier découvert (Redirection).
301	/api/v1	INFO	Point d'entrée API découvert.
403	/.htpasswd	LOW	Fichier sensible présent mais protégé.

7. Usurpation d'Identité & Sécurité Email (SPF / DMARC)

Analyse de la configuration DNS du domaine mon-entreprise.fr pour la protection contre le Mail Spoofing (usurpation de domaine).

Absence d'enregistrements SPF & DMARC CRITIQUE

Impact (Risque Extrême)

Alerte Rouge : Le domaine n'a strictement aucune protection contre l'usurpation d'identité.
N'importe quel pirate dans le monde peut envoyer des emails malveillants (phishing, ransomware, fraude au président) en se faisant passer de façon parfaitement crédible pour direction@mon-entreprise.fr ou support@mon-entreprise.fr.

Les serveurs de réception (Gmail, Outlook, etc.) ne pourront pas faire la différence entre un email légitime de vos employés et un email frauduleux du hacker. Cette compromission totale permet l'extorsion de fonds auprès de vos clients et partenaires, et entraînera la destruction immédiate de votre réputation.

8. Synthèse & Feuille de Route

🚨 Plan d'Urgence

Le niveau de sécurité global est CRITIQUE. L'infrastructure est actuellement vulnérable à une compromission totale ainsi qu'à des campagnes massives de Spoofing.

Priorité Absolue (Email) : Déployer d'urgence les enregistrements DNS SPF et DMARC (avec politique p=reject) pour stopper net toute tentative d'usurpation d'identité et de fraude au président (Spoofing).
Priorité Absolue (Web) : Supprimer immédiatement les fichiers .env et backup.sql accessibles publiquement.
Priorité Absolue (BDD) : Corriger la faille d'Injection SQL sur le paramètre id.
Restreindre l'accès au port 3306 (MySQL) via le pare-feu.
Mettre à jour le coeur WordPress et les plugins obsolètes.
Configurer les en-têtes de sécurité manquants (HSTS, CSP).

RAPPORT DE PENTESTING

🚨 Plan d'Urgence