MoreOnlineTools
ESC

Kit d'Audit de Sécurité

Un workflow en 7 étapes pour renforcer la sécurité de votre application

Kit d'Audit de Sécurité

Ce workflow est destiné aux développeurs et administrateurs systèmes qui souhaitent auditer et améliorer la sécurité d'une application web ou d'un environnement serveur. Suivez les étapes dans l'ordre pour couvrir l'hygiène des identifiants, la protection des données et les en-têtes de sécurité HTTP. À la fin, vous aurez traité les vecteurs d'attaque les plus courants : mots de passe faibles, stockage en clair, données non chiffrées et politiques navigateur mal configurées.

7 étapes ~20 min 7 outils
01

Générer des Identifiants Forts

Les mots de passe faibles sont la principale cause des violations de sécurité. Générez des mots de passe cryptographiquement aléatoires pour tous les comptes de service, les clés API et les identifiants administrateur.

Générateur de Mots de Passe
Générez un mot de passe cryptographiquement aléatoire d'au moins 16 caractères avec majuscules, minuscules, chiffres et symboles.
Ouvrir l'outil
02

Tester les Mots de Passe Existants

Avant de faire confiance à un mot de passe existant, évaluez-le selon les calculs d'entropie et la détection de motifs courants. Tout ce qui est en dessous de 70 bits d'entropie doit être remplacé.

Vérificateur de Force de Mot de Passe
Collez chaque mot de passe existant ici pour mesurer son score d'entropie et détecter les motifs prévisibles ou les mots du dictionnaire.
Ouvrir l'outil
03

Hacher les Mots de Passe pour le Stockage

Ne stockez jamais les mots de passe en clair. Bcrypt ajoute automatiquement un sel et est délibérément lent — chaque hachage prend quelques millisecondes pour vous, mais rend les attaques par force brute prohibitivement coûteuses.

Générateur Bcrypt
Entrez un mot de passe et générez un hash bcrypt avec un facteur de coût approprié (12 recommandé) pour le stocker dans votre base de données.
Ouvrir l'outil
04

Hacher les Données pour l'Intégrité

Vérifiez l'intégrité des fichiers, créez des checksums pour les déploiements ou générez des identifiants déterministes. SHA-256 est la norme pour les checksums dans les contextes de sécurité.

Générateur SHA-256
Hachez des artefacts de déploiement, des fichiers de configuration ou toute donnée pour créer un checksum que vous pourrez vérifier après transfert ou stockage.
Ouvrir l'outil
05

Chiffrer les Données Sensibles

Pour les données qui doivent être récupérées ultérieurement (contrairement aux hachages), AES-256 est la norme industrielle. Utilisez-le pour chiffrer des tokens, des valeurs de configuration ou toute donnée stockée hors de votre application.

Chiffrement AES
Chiffrez des tokens API, des clés secrètes ou des valeurs de configuration avec AES-256 pour qu'ils puissent être stockés ou transmis en toute sécurité.
Ouvrir l'outil
06

Rédiger la Politique de Sécurité du Contenu

Les en-têtes CSP préviennent les attaques XSS en contrôlant les ressources que les navigateurs peuvent charger. Une CSP bien configurée est l'une des défenses les plus efficaces contre l'injection de scripts.

Générateur CSP
Construisez un en-tête Content-Security-Policy en sélectionnant les sources que votre application utilise réellement, puis copiez la valeur dans la configuration de votre serveur.
Ouvrir l'outil
07

Configurer les En-têtes CORS

Un CORS mal configuré est une vulnérabilité API courante. Générez des en-têtes précis pour n'autoriser que les origines prévues — un joker (*) sur un endpoint avec authentification est une faille de sécurité critique.

Générateur d'En-têtes CORS
Spécifiez vos origines, méthodes et en-têtes autorisés pour générer les valeurs exactes d'Access-Control-* dont votre API a besoin.
Ouvrir l'outil

Conseils d'Expert

  • Renouvelez les identifiants après chaque audit. Même un mot de passe fort devient un risque s'il est utilisé depuis un an ou plus sans rotation.
  • Utilisez un facteur de coût de 12 ou supérieur pour bcrypt en production. Sur du matériel moderne, un coût de 10 peut être cracké plus vite que prévu à mesure que la puissance de calcul augmente.
  • Testez votre CSP d'abord en mode rapport seulement (Content-Security-Policy-Report-Only) avant de l'appliquer — une politique mal configurée peut casser toute votre application.

Questions Fréquentes

Le hachage est un processus à sens unique : vous ne pouvez pas inverser un hash pour retrouver les données originales. Il est utilisé pour vérifier l'intégrité ou stocker des mots de passe. Le chiffrement est bidirectionnel : les données peuvent être déchiffrées avec la bonne clé. Utilisez le hachage pour les mots de passe et les checksums ; utilisez le chiffrement pour les données que vous devez récupérer ultérieurement.

Au minimum 16 caractères pour les mots de passe saisis manuellement, et 32 caractères ou plus pour les identifiants générés par machine comme les clés API. La longueur contribue davantage à l'entropie que la variété de caractères seule — une chaîne de 20 caractères en minuscules est plus forte qu'une chaîne mixte de 10 caractères.

Bcrypt est bien meilleur pour le stockage des mots de passe. SHA-256 est conçu pour être rapide, ce qui facilite la force brute. Bcrypt est intentionnellement lent et inclut un sel intégré, ce qui en fait le bon choix pour stocker les mots de passe des utilisateurs. SHA-256 convient aux checksums et à l'intégrité des données, pas au stockage des identifiants.

Non, CSP réduit considérablement le risque et l'impact de XSS, mais ne l'élimine pas entièrement. Une CSP mal rédigée avec des règles trop larges (comme unsafe-inline) offre peu de protection. CSP fonctionne mieux comme une couche dans une approche de défense en profondeur, aux côtés de la validation des entrées et de l'encodage des sorties.

Non. Chaque outil de ce site fonctionne entièrement dans votre navigateur. Vos mots de passe, clés et données ne quittent jamais votre appareil — rien n'est envoyé à aucun serveur. Vous pouvez le vérifier en vous déconnectant d'Internet et en utilisant les outils ; ils continueront de fonctionner.

Sécurité et Confidentialité

La sécurité de vos données est notre priorité

Traitement Local

Tout le traitement se fait dans votre navigateur

Aucun Transfert de Données

Vos données ne sont pas envoyées à nos serveurs

Aucun Stockage de Données

Aucune donnée n'est stockée ou partagée

Chiffrement SSL

Chiffrement SSL pour une connexion sécurisée