Audit sécurité pour SaaS en forte cadence

Votre API fuit déjà. Et personne ne vous le dira.

Quelqu’un peut déjà lire des données qui ne lui appartiennent pas. Sans rien casser.

Vérifiez avant que quelqu’un d’autre le fasse.

Audits réalisés sur des APIs SaaS, fintech et marketplaces.

Voir ce que mon API expose Voir si ça me concerne (15 min)

3 audits max / semaine

Prochain créneau : 12 mai

ReactNext.jsNode.jsNestJSExpressGraphQLFlutter / Dart

Le problème

Une fuite commence rarement par un hack.

Dans la majorité des cas, rien n’est “cassé”. L’API répond. Les routes fonctionnent.

C’est justement le problème.

Un attaquant n’exploite pas des bugs. Il exploite ce que vous avez laissé passer.

Et dans la plupart des cas, c’est déjà présent en production.

Probablement chez vous.

Voilà à quoi ça ressemble concrètement :

Permissions implicites

Le backend fait confiance à la requête.

Un simple changement d’ID suffit.

Réponses trop bavardes

L’API renvoie plus que nécessaire : rôles, emails, flags internes.

Ces données deviennent exploitables.

Logique métier contournable

Une condition oubliée. Une vérification côté client.

La logique peut être contournée.

La méthode

72h pour trouver ce qui peut être exploité.

L’application est testée comme un attaquant. Pas pour vérifier que “ça marche”. Pour voir comment ça peut être utilisé contre vous, concrètement.

Ce qu’un attaquant peut faire immédiatement

Un token suffit pour accéder à un autre compte
Des routes internes sont accessibles sans autorisation
Des données d’autres utilisateurs sont accessibles

Ce qui permet cet accès

Les validations serveur peuvent être contournées
Un fichier exécutable peut être uploadé
L’API révèle des informations internes via les erreurs
Des actions non prévues peuvent être chaînées

On les retrouve déjà en production. Probablement chez vous aussi.

Ce qu’on voit en production

Les mêmes accès existent déjà en production.

Même quand tout “fonctionne”.

Ce qui passe déjà en production :

APIs qui exposent les données d’autres utilisateurs
Accès à d’autres comptes sans vérification
Routes admin accessibles publiquement sans authentification
Tokens (JWT) réutilisables ou falsifiables

Impact

Rien ne remonte. Mais l’accès existe déjà.

Chaque point correspond à un accès réel sur votre API.

Pas d’hypothèse. Pas de faux positif.

Ces failles existent déjà dans la plupart des APIs. En production aujourd’hui.

Critique

Données d’un autre utilisateur

Lecture de factures, profils ou documents d’autres clients.

Élevé

Endpoint sensible accessible

Routes internes accessibles sans contrôle d’accès — accès à des données ou actions non prévues par votre API.

Critique

JWT réutilisable ou falsifiable

Accès à un compte via token réutilisable ou falsifié.

Élevé

Route admin exposée

Accès admin possible depuis un compte standard.

Moyen

Données supprimées accessibles

Données supprimées encore accessibles via API.

Élevé

Validation serveur contournable

Le backend accepte des données invalides ou manipulées.

Élevé

Upload exploitable

Fichiers acceptés sans contrôle suffisant. Exécution ou stockage abusif possible.

Moyen

Erreur backend trop bavarde

Exposition de chemins internes, IDs ou logique backend.

Les plus courantes. Pas les plus graves.

Extrait de rapport après audit

Sans preuve, les failles restent en production. Elles sont exploitées.

Chaque faille est reproduite avec une preuve exploitable, directement sur votre API.

Pas d’interprétation. Pas de doute.

Vous savez quoi corriger.

Des preuves concrètes. Pas de suppositions.

Un rapport exploitable. Pas un PDF que personne n’ouvre.

CRITIQUE

Accès non autorisé aux données d’un autre utilisateur

Impact

Accès à des données clients sans autorisation. Risque légal et perte de confiance.

Exploit

Modification d’un ID dans une requête authentifiée.

Preuve

Requête reproduite → accès aux données d’un autre compte confirmé.

Correction

Vérification stricte côté serveur + test d’autorisation.

Priorité

Correction immédiate requise

Exemple réel trouvé en audit

Un ID modifié. Les données d'un autre client exposées.

Un utilisateur connecté. Une requête modifiée. Accès aux données d’un autre client.

Aucune erreur. Réponse valide. Données exposées.

Requête envoyée 
GET /api/invoices/INV-2846 HTTP/1.1Authorization: Bearer eyJhbGci...// INV-2846 appartient à un autre compte
Réponse reçue 
HTTP/1.1 200 OK{  "id": "INV-2846",  "customer": "alice@autre-compte.com",  "amount": 4800,  "status": "paid",  "items": [...]}
Faille identifiée
Endpoint

/api/invoices/:id

Type

Accès non autorisé aux données

Impact

N’importe quel utilisateur peut accéder aux données d’un autre client.

Correction

Vérification stricte côté serveur de l’accès aux données.

C’est ce type de faille que nous identifions en 72h.

Ce n’est pas une hypothèse. C’est déjà exploitable.

En 72h, vous voyez ce qui peut être utilisé contre vous.

Ça suffit. Et ça passe en production.

1500 € Livré en 72h

Ce que vous obtenez en 72h :

  • Accès à des données d’autres utilisateurs
  • Endpoints exploitables sans contournement
  • Preuves exploitables reproductibles
  • Corrections concrètes, prêtes à appliquer
Vérifier mon API

3 audits max / semaine

Places limitées

Paiement → formulaire d’accès → audit lancé dans les 2h ouvrées.

FAQ

Avant de nous ouvrir votre API.

On a déjà des développeurs, à quoi ça sert ?

Fréquent

Vos développeurs construisent. Nous testons ce que votre API laisse passer.

Ce qui fonctionne n’est pas forcément sécurisé. C’est même souvent l’inverse.

Notre application est petite, est-ce utile ?

Fréquent

Oui. Les failles existent dès le premier endpoint exposé.

Quelques comptes exposés suffisent à créer un problème client, légal ou commercial.

Vous travaillez uniquement en TypeScript ?

L’audit code est spécialisé TypeScript / Node / React.

L’analyse API (exposition, permissions, données) reste valable quel que soit votre stack.

Est-ce que vous corrigez les failles ?

Vous recevez un plan clair : impact, preuve, correction.

Les correctifs peuvent être pris en charge ensuite.

Mais vous savez déjà quoi corriger.

Pourquoi maintenant ?

Parce que ces failles existent déjà.

La seule question : quand elles seront exploitées.

Combien de temps ça prend côté équipe ?

Peu. L’accès au repo + une URL API suffisent pour démarrer.

Pas de mobilisation longue côté équipe.

Les failles ne préviennent pas.

Elles passent en production.

Vous avez votre réponse.

La seule question : qu’est-ce que votre API laisse passer aujourd’hui ?

Quelqu’un a déjà accès à vos données.Voyez ce qu’il voit. Avant lui.

Audit en 72h
Vérifier mon API Parler avant l’audit

Audit démarré immédiatement.

Résultats exploitables en 72h.

Sans bloquer votre équipe.