Audits de code source

Nos auditeurs analysent tout ou partie du code source audité (ou ses conditions de compilation ou d’exécution) dans le but d’y découvrir des vulnérabilités liées à de mauvaises pratiques de programmation ou à des erreurs de logique.

L'audit de code source se déroule de la manière suivante :

  1. Une première étude permet de définir l'architecture du code audité et d'en relever les portions critiques
  2. Une analyse automatisée est menée sur l'ensemble du code afin de faire remonter les problèmes de sécurité les plus évidents
  3. Une analyse manuelle est réalisée sur les portions critiques précédemment établies (exemples : authentification, accès données sensibles, actions d'administration).
  4. Dans le cas où le code fourni est fonctionnel, une analyse dynamique est effectuée. Elle permet de tester la robustesse de l'application en envoyant des données qui ne sont pas prévues par les fonctions.
  5. Chaque faiblesse découverte fait l'objet d'une recommandation spécifique aux codes fournis avec un exemple de mise en oeuvre.

Langages audités

  • PHP
  • Python
  • Java
  • JavaScript
  • Ruby
  • Perl
  • ASP / ASP.NET
  • C / C++
  • Kotlin
  • Objective-C / Swift
  • Shell / PowerShell
  • SQL

Points principaux audités

  • Analyse globale de l'architecture et des composants critiques
  • Revue manuelle des composants critiques
  • Analyse des points d'entrées et injections de contenu par l'utilisateur
  • Robustesse de l'authentification, de la gestion des sessions et des permissions
  • Étude du stockage des mots de passe et robustesse du mécanisme cryptographique utilisé
  • Étude de la configuration
  • Recherche de portes dérobées et code non exposé à l'utilisateur
  • Analyse du stockage et de l'accès aux données sensibles
  • Vérification de la présence d'un mécanisme de journalisation fonctionnelle

Méthodologie utilisée