Ce qu'on analyse
Scanthra effectue une vérification conviviale et passive sur ton site web. On ne se connecte jamais, on n'attaque pas par force brute, on ne surcharge pas ton serveur. Voici exactement ce qu'on regarde — en langage clair.
Les bases — ton site est-il correctement verrouillé ?
🔒 En-têtes HTTP de sécurité
On vérifie si ton site web indique au navigateur de se comporter de manière sécurisée : HSTS (forçage HTTPS), CSP (Content Security Policy) (bloquer les scripts injectés), X-Frame-Options (éviter le clickjacking), X-Content-Type-Options, Referrer-Policy et Permissions-Policy. Les en-têtes manquants sont une source courante de petites fuites qui s'accumulent.
🔐 Certificat & chiffrement TLS/SSL
Ton certificat est-il valide, qui l'a émis, quand expire-t-il, et prend-il en charge les protocoles TLS/SSL (chiffrement) modernes ? Un certificat expiré peut bloquer les ventes pendant une journée. Un protocole faible met tes visiteurs en danger.
🍪 Indicateurs des cookies
On regarde tes cookies — sont-ils marqués Secure, HttpOnly et ont-ils un SameSite raisonnable ? Sans cela, les sessions de connexion peuvent fuir sur un Wi-Fi public ou être volées par des scripts malveillants.
Les choses cachées que tu n'avais pas l'intention de publier
📁 Fichiers exposés
Fichiers de sauvegarde, .env, dossiers .git, dumps de base
de données, panneaux d'administration oubliés — on vérifie une liste soigneusement
sélectionnée de chemins bien connus qui ne devraient pas être publics.
🚪 Pages de connexion & d'administration
On note où se trouve ta connexion d'administration (/wp-admin,
/administrator, etc.) pour que tu puisses décider si elle doit être
restreinte par IP ou placée derrière une double authentification.
🤖 robots.txt & .well-known
Parfois, robots.txt laisse filtrer les noms de dossiers que tu ne
veux pas indexer. Ton répertoire .well-known peut révéler plus que
tu ne le penses.
Avec quoi ton site web est construit
🧱 CMS (système de gestion de contenu) & versions
Si tu utilises WordPress, Joomla, Drupal, Shopify ou PrestaShop, on l'identifie et on lit ses marqueurs de version publics. Les versions obsolètes de CMS sont la principale cause de piratage des sites web de petites entreprises.
🔍 Empreinte technologique
On détecte les logiciels serveur (nginx, Apache), le langage (PHP, Node) et les bibliothèques front-end courantes — uniquement à partir des en-têtes HTTP et du HTML déjà publics.
📚 Vérification passive des CVE (base publique des failles)
Lorsqu'on détecte une version spécifique d'un composant connu, on la vérifie par rapport à une copie locale de la base de données publique de vulnérabilités (NVD). Pas d'exploit, pas de sondage — juste « hé, cette version a un problème connu ; voici la mise à jour dont tu as besoin. »
Sécurité e-mail — la réputation de ton domaine
📧 SPF, DKIM & DMARC (protection e-mail)
Si ton domaine n'a pas de SPF / DKIM / DMARC (protection e-mail), n'importe qui peut usurper des e-mails en se faisant passer pour toi — ta banque, ton client, ton fournisseur. On vérifie si ces enregistrements DNS existent et semblent sains. Un DMARC manquant est l'une des principales causes de problèmes de délivrabilité et d'usurpation par hameçonnage.
Ce qu'on ne fait délibérément pas
- Pas de scan de ports, pas de
nmap— on ne sonde jamais ce qui n'est pas une page web. - Pas de tentatives de connexion, pas de force brute, pas de devinette de mot de passe.
- Pas d'exploitation active, pas d'injection de payload, pas de fuzzing.
- Pas de saturation du trafic — on envoie peut-être 30 requêtes polies au total.
En d'autres termes : rien dont ton hébergeur pourrait se plaindre. Une analyse Scanthra ressemble exactement à un visiteur curieux qui lit quelques pages publiques.