Security Audit Pro – Protégez votre boutique contre les attaques par l'IA - Module PrestaShop

Le premier module complet d'audit de sécurité et de tests d'intrusion pour PrestaShop

Avec l'essor de l'intelligence artificielle, n'importe qui peut désormais trouver et exploiter les vulnérabilités de votre boutique en quelques minutes. Un simple prompt dans ChatGPT ou Claude suffit pour détecter des fichiers de configuration exposés, des en-têtes de sécurité manquants, des modules vulnérables ou des points d'injection SQL. Ce qui nécessitait auparavant un audit de sécurité professionnel à plus de 3 000 $ est désormais à la portée de chaque attaquant — gratuitement.

Security Audit Pro riposte avec le même niveau d'intelligence. Il effectue un test d'intrusion complet de votre boutique PrestaShop — en exécutant plus de 60 vérifications de sécurité automatisées réparties en 8 catégories — directement depuis votre back-office, en moins de 5 minutes. Pas de ligne de commande, pas d'accès serveur, aucune compétence technique requise.

Comment ça marche — 3 étapes

Étape 1 — Scan : Cliquez sur "Lancer le scan complet". Le module exécute successivement 8 scanners de sécurité indépendants. Une barre de progression en temps réel indique quel scanner est en cours et le pourcentage d'achèvement.

Étape 2 — Révision : Obtenez votre note globale de sécurité de A à F avec un score numérique sur 100. Chaque résultat est classé comme Critique (rouge), Avertissement (orange), Info (bleu) ou Réussi (vert). Cliquez sur n'importe quel résultat pour voir l'explication complète, les étapes de correction et les détails techniques.

Étape 3 — Correction : Suivez les instructions étape par étape fournies pour chaque faille, ou cliquez sur "Télécharger .txt pour l'IA" pour tout exporter et laisser un assistant IA corriger le tout pour vous.

Export pour Agent IA — Le changement de donne

C'est la fonctionnalité qui rend Security Audit Pro unique sur l'ensemble de la marketplace PrestaShop.

Après le scan, cliquez sur le bouton "Télécharger .txt pour l'IA". Le module génère un fichier texte structuré contenant chaque problème détecté, chaque chemin de fichier à modifier et chaque instruction de correction — formaté spécifiquement pour être compris et traité par les assistants IA.

Donnez ce fichier à ChatGPT, Claude, Gemini ou tout autre assistant IA et demandez simplement : "Corrige tous les problèmes de sécurité de ce rapport." L'IA lit le rapport structuré et patche chaque vulnérabilité, une par une.

Le cycle complet :

• Détection — Security Audit Pro scanne votre boutique
• Diagnostic — Rapport détaillé avec des explications en langage clair
• Export — Fichier .txt structuré optimisé pour l'IA
• Correction — L'IA corrige chaque vulnérabilité automatiquement
• Vérification — Relancez le scan pour confirmer que tous les problèmes sont résolus

Vous n'avez plus besoin d'être développeur ou d'engager un consultant en sécurité. Le module trouve les problèmes, les explique clairement, et votre assistant IA les corrige.

Rapports de résultats détaillés — Aucune expertise requise

Chaque problème détecté s'ouvre dans un panneau extensible comprenant trois sections clairement séparées :

CE QUI A ÉTÉ TROUVÉ — Une explication en langage clair du problème. Pas de jargon. Le module vous indique exactement ce qui a été détecté, pourquoi c'est dangereux et quel est le risque concret pour votre boutique et vos clients. Même une personne sans aucune connaissance en sécurité peut comprendre chaque résultat.

COMMENT CORRIGER — Instructions numérotées étape par étape. Chaque étape vous indique exactement quel fichier ouvrir, quoi chercher et quoi modifier. Pas de devinettes, pas de recherches Google. Suivez simplement les étapes.

DÉTAILS TECHNIQUES — Pour les développeurs et les utilisateurs avancés : le chemin exact du fichier, le motif ou le code détecté, le module ou le contexte affecté, et l'impact potentiel. Cette section est aussi ce qui rend l'export IA si efficace — elle donne à l'IA tout ce dont elle a besoin pour agir.

Les résultats sont organisés en 8 onglets (un par catégorie de scan) et chacun affiche un badge de sévérité coloré (Critique, Avertissement, Info, Réussi) et un badge de catégorie indiquant quel scanner l'a détecté.

Section 1 — En-têtes HTTP et Configuration Serveur

Les en-têtes HTTP de votre serveur sont la première ligne de défense. Des en-têtes manquants ou mal configurés exposent votre boutique au clickjacking, aux attaques XSS, au MIME sniffing et aux fuites de données.

Security Audit Pro vérifie :

• 7 en-têtes de sécurité essentiels : Strict-Transport-Security (HSTS), Content-Security-Policy (CSP), X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-XSS-Protection — chacun vérifié pour sa présence ET sa valeur correcte
• Santé du certificat SSL/TLS : version du protocole (TLS 1.2+ requis), expiration du certificat (alertes 30 jours avant), vérification de la chaîne complète, redirection HTTP→HTTPS (doit être 301, pas 302)
• Détection de contenu mixte (Mixed Content) : scanne le code HTML de votre page d'accueil pour trouver des ressources chargées via http:// sur une page HTTPS (images, scripts, feuilles de style, iframes)
• Drapeaux de sécurité des cookies : attributs Secure, HttpOnly et SameSite sur chaque cookie, avec une priorité sur le cookie de session PrestaShop
• Divulgation d'informations serveur : détecte si votre serveur révèle sa version (Apache/2.4.x, PHP/8.x), des jetons de débogage Symfony (fuite critique) ou l'identification du CMS PrestaShop
• Mauvaise configuration CORS : teste si votre serveur accepte des requêtes cross-origin de n'importe quel domaine (wildcard), reflète des origines malveillantes ou expose des identifiants entre domaines

Section 2 — Fichiers et Répertoires Sensibles

L'un des vecteurs d'attaque les plus courants et dévastateurs : les fichiers qui ne devraient jamais être accessibles publiquement. Un seul fichier .env exposé peut livrer l'intégralité des identifiants de votre base de données à un attaquant.

Security Audit Pro scanne plus de 40 chemins de fichiers dangereux :

• Fichiers de configuration : .env, .env.local, .env.backup, parameters.php, parameters.yml — contiennent les accès BDD, clés secrètes, mots de passe SMTP
• Fichiers de debug : phpinfo.php, info.php, test.php — révèlent votre configuration serveur complète à n'importe qui
• Outils de base de données : adminer.php, phpmyadmin/, pma/ — offrent un accès direct à la base de données
• Gestion de version : .git/HEAD, .git/config, .svn/entries — permettent la reconstruction complète du code source et l'extraction d'identifiants
• Fichiers Composer : composer.json, composer.lock — révèlent toutes vos dépendances et leurs versions
• Fichiers de sauvegarde : backup.sql, dump.sql, db.sql, backup.zip, backup.tar.gz — contiennent potentiellement toute votre base de données en texte clair
• Fichiers CI/CD et IDE : docker-compose.yml, .gitlab-ci.yml, .idea/, .vscode/ — peuvent contenir des identifiants et des configurations de déploiement
• Fichiers de log : var/logs/dev.log, var/logs/prod.log — peuvent contenir des requêtes SQL, des traces d'erreurs, des données sensibles

Le module détecte également le listage de répertoires (directory listing) sur plus de 10 dossiers sensibles, vérifie les permissions de fichiers (CHMOD) sur les fichiers de configuration critiques, et effectue une vérification complète de l'intégrité des fichiers du cœur via des sommes de contrôle SHA-256 par rapport aux versions officielles de PrestaShop (1.7.8.x, 8.0.x, 8.1.x, 8.2.x, 9.0.x). Les fichiers du cœur modifiés, supprimés ou ajoutés de manière suspecte sont immédiatement signalés.

Section 3 — Sécurité du Back-Office

Votre back-office est la cible ultime. Si un attaquant obtient un accès administrateur, il possède toute votre boutique — données clients, commandes, informations de paiement, absolument tout.

Security Audit Pro teste :

• Force du chemin admin : vérifie le nom de votre répertoire admin par rapport à plus de 50 modèles courants utilisés par les scanners automatisés (admin, admin123, backoffice, bo, gestion, manage, backend, panel, etc.). Si votre chemin est devinable → Critique
• Protection contre la force brute : simule 5 tentatives de connexion rapides avec de faux identifiants pour tester si votre boutique dispose d'une limitation de débit (rate limiting), de CAPTCHA ou de blocage d'IP. Pas de protection → Critique
• Authentification à deux facteurs : vérifie si un module 2FA/TOTP est installé et actif. La 2FA est la protection la plus efficace contre le vol d'identifiants. Absent → Critique
• Audit des comptes administrateurs : scanne les adresses email génériques (admin@, test@, info@, root@), les comptes inactifs (non connectés depuis plus de 6 mois), le nombre excessif de SuperAdmin (plus de 2 = Avertissement, plus de 5 = Critique), et les domaines d'email jetables (mailinator, yopmail, guerrillamail)
• Politique de mot de passe : vérifie l'application d'une longueur minimale et contrôle le format de hachage réel dans votre base de données — bcrypt ($2y$) est sécurisé, les hachages MD5 de 32 caractères indiquent des mots de passe hérités dangereux qui nécessitent une migration immédiate

Section 4 — Sécurité des Modules

Les modules tiers sont la source n°1 de vulnérabilités sur les boutiques PrestaShop. Ils représentent plus de 80 % de toutes les failles de sécurité exploitées. Cette section est souvent la plus révélatrice pour les marchands.

Security Audit Pro inclut :

• Base de données de vulnérabilités CVE intégrée : chaque module installé est recoupé avec une base de données exhaustive de vulnérabilités connues provenant des Friends of Presta Security Advisories, des avis TouchWeb et de la National Vulnerability Database (NVD). Si votre version de module est affectée → Critique avec ID CVE, type de vulnérabilité, description du risque, version corrigée et lien vers l'avis
• Détection de modules fantômes : trouve les modules désactivés ou désinstallés dont les fichiers sont toujours physiquement présents sur votre serveur. Ces fichiers restent accessibles via URL directe — un attaquant peut les exploiter même si vous pensez que le module est "supprimé"
• Détection de modules obsolètes : identifie les modules ayant une compatibilité déclarée inférieure à votre version PS, ou avec des fichiers PHP non modifiés depuis plus de 2 ans (potentiellement abandonnés par leur développeur)
• Scan des points de terminaison non protégés : vérifie les fichiers ajax.php, api.php, cron.php, callback.php, webhook.php, upload.php, export.php, download.php, proxy.php, connector.php, gateway.php accessibles sans aucun mécanisme d'authentification
• Analyse des gestionnaires d'upload : effectue une analyse statique du code des fichiers PHP de chaque module pour détecter les gestionnaires de téléchargement de fichiers (utilisant $_FILES, move_uploaded_file) qui manquent de validation MIME, de liste blanche d'extensions ou de contrôles de taille. Un upload non contrôlé → Critique (exécution de code à distance potentielle)

Section 5 — Audit de l'API WebService

L'API WebService de PrestaShop peut exposer toutes les données de votre boutique — clients, commandes, produits, comptes employés, configurations — via de simples requêtes HTTP. Une API mal configurée est une mine d'or pour les attaquants.

Security Audit Pro vérifie :

• Exposition de l'API : teste si /api/ répond sans authentification (devrait renvoyer 401, pas 200)
• Audit des permissions par clé : pour chaque clé API active, liste toutes les ressources et méthodes autorisées. Signale : accès à TOUTES les ressources (Critique), DELETE sur clients/commandes/adresses (Avertissement), PUT/POST sur les configurations (Critique), accès aux données employés (Critique)
• Analyse de la force des clés : évalue la longueur de chaque clé (doit être 32+), l'entropie de Shannon (doit être 3.5+ bits/char) et la détection de modèles séquentiels (123456, abcdef = faible)
• CORS sur les points de terminaison API : teste spécifiquement les chemins /api/ pour les mauvaises configurations cross-origin — une API active avec un CORS permissif signifie que n'importe quel site malveillant peut lire les données de votre boutique depuis le navigateur de n'importe quel visiteur

Section 6 — Détection d'injection SQL et Analyse de Code

L'injection SQL reste l'un des types d'attaques les plus dévastateurs. Un seul paramètre vulnérable peut donner à un attaquant l'accès à toute votre base de données — comptes clients, mots de passe, jetons de carte de crédit, historique des commandes.

Security Audit Pro combine tests dynamiques et analyse statique :

Tests dynamiques (requêtes HTTP) :

• Teste les paramètres GET courants de PrestaShop (id_product, id_category, id_cms, id_manufacturer, id_supplier, paramètre de recherche) avec des payloads de détection d'erreurs SQL
• Détecte la divulgation d'erreurs SQL dans les réponses HTTP (erreurs de syntaxe MySQL, PDOException, motifs SQLSTATE)
• Les tests ne vont JAMAIS au-delà de la détection d'erreurs — pas d'exploitation, pas d'extraction de données, pas de modification

Analyse statique de code (lecture du code source PHP) :

• Scanne tous les fichiers PHP dans /override/ et /modules/ pour détecter des modèles dangereux :
• Requêtes SQL non sécurisées : Db::getInstance()->execute() avec concaténation directe au lieu de pSQL()/(int)
• Exécution de code : eval(), exec(), system(), passthru(), shell_exec(), proc_open()
• Malware obfusqué : base64_decode() suivi d'eval() — la signature classique des backdoors
• Inclusion de fichiers : include()/require() avec des paramètres $_GET/$_POST (LFI/RFI)
• SSRF : file_get_contents() avec des URL contrôlées par l'utilisateur
• Injection d'objets PHP : unserialize() avec des données utilisateur
• Fonctions dangereuses dépréciées : preg_replace() avec le drapeau /e

Les résultats sont groupés par module avec un score de risque individuel, ce qui permet d'identifier facilement quels modules sont les plus dangereux.

Section 7 — Protection XSS et CSRF

Le Cross-Site Scripting (XSS) permet aux attaquants d'injecter des scripts malveillants dans vos pages, volant ainsi les cookies des clients, les jetons de session et les données personnelles. Le Cross-Site Request Forgery (CSRF) trompe les utilisateurs authentifiés pour leur faire effectuer des actions indésirables.

Security Audit Pro teste :

• XSS Refléte : envoie des payloads non destructifs vers votre barre de recherche, formulaire de contact et paramètres d'URL, puis analyse la réponse HTML pour vérifier si les payloads sont reflétés sans encodage. Reflet non encodé → Critique (XSS exploitable)
• Vérification des jetons CSRF : vérifie chaque formulaire front-office (contact, connexion, inscription, adresse, commande) et back-office pour la présence de jetons anti-CSRF (_token pour Symfony, token pour PS legacy)
• Évaluation de Content-Security-Policy : analyse votre en-tête CSP spécifiquement pour l'efficacité de la protection XSS — signale unsafe-inline, unsafe-eval, les wildcards dans script-src, et fournit une configuration CSP recommandée pour PrestaShop

Section 8 — Permissions et Contrôle d'Accès

Security Audit Pro vérifie :

• Exécution PHP dans les répertoires d'upload : vérifie que les règles .htaccess bloquent l'exécution PHP dans /upload/, /img/, /download/, /mails/. Si un attaquant peut télécharger et exécuter un fichier .php → prise de contrôle totale du serveur
• Test de redirection ouverte (Open Redirect) : teste les paramètres de redirection (back, redirect, returnUrl, url, next, checkout) avec des URL externes et des techniques de contournement classiques (//evil.com, /\evil.com). Redirection ouverte → Critique (permet des attaques de phishing utilisant votre domaine)
• Protection IDOR : teste si les commandes, factures et adresses sont accessibles en incrémentant simplement l'ID dans l'URL sans authentification. Accessible → Critique
• Protection anti-bot : analyse les formulaires d'inscription et de connexion pour les CAPTCHA (reCAPTCHA, hCaptcha, Turnstile), les champs "honeypot" ou la limitation de débit. Pas de protection → Avertissement (expose votre boutique aux inscriptions de masse et au credential stuffing)

Système de notation intelligent de A à F

Le score de sécurité est calculé à l'aide d'une formule pondérée où chaque scanner contribue selon son niveau de risque :

• Sécurité Back-Office : 20%
• Sécurité des Modules : 20%
• Fichiers et Répertoires : 15%
• En-têtes HTTP et Serveur : 10%
• API WebService : 10%
• Injection SQL et Code : 10%
• XSS et CSRF : 10%
• Permissions et Accès : 5%

Chaque résultat soustrait des points en fonction de sa sévérité : Critique = -30pts, Avertissement = -10pts, Info = -1pt. Le score va de 0 à 100 et correspond à une note littérale :

• A (90-100) : Excellent — votre boutique suit les meilleures pratiques de sécurité
• B (75-89) : Bon — des améliorations mineures sont recommandées
• C (60-74) : Moyen — des corrections importantes sont nécessaires
• D (40-59) : Insuffisant — des vulnérabilités significatives ont été détectées
• E (20-39) : Médiocre — risques sérieux, action urgente requise
• F (0-19) : Critique — votre boutique est vulnérable, agissez immédiatement

Tableau de bord, Historique et Comparaison

Le tableau de bord du back-office vous donne une vue d'ensemble complète d'un seul coup d'œil :

• Grande note de A à F avec score numérique affiché de manière proéminente
• 4 compteurs de sévérité : Critique / Avertissement / Info / Réussi avec des icônes colorées
• 8 barres de progression : une par section de scanner avec des scores individuels
• Tableau d'historique des scans : date, score, durée, version PS, version PHP, lien vers les résultats détaillés
• Comparaison de scans : lorsque 2 scans ou plus existent, visualisez la tendance — ↑ amélioration (vert) ou ↓ régression (rouge) avec le différentiel de points exact
• Scan en temps réel : barre de progression alimentée par AJAX indiquant quel scanner est en cours d'exécution et le pourcentage d'achèvement

Suivez l'évolution de votre sécurité dans le temps. Mesurez l'impact de vos corrections. Détectez les régressions après des mises à jour ou l'installation de nouveaux modules.

100% Sûr et Non Intrusif

Security Audit Pro est conçu pour être totalement sûr à exécuter sur des boutiques en production :

• Lecture seule : le module ne crée, ne modifie et ne supprime jamais de fichier sur votre serveur
• Tests d'injection SQL : détectent uniquement la divulgation d'erreurs — zéro exploitation, zéro extraction de données
• Tests de force brute : limités à 5 tentatives avec des identifiants intentionnellement faux (test@test.com / wrongpassword123) et un User-Agent identifiable (WePresta-SecurityAudit/1.0)
• Payloads XSS : uniquement un alert(1) non destructif — aucune modification du DOM, aucune exfiltration de données
• Zéro impact front-office : pas de hooks, pas de JavaScript, pas de CSS sur votre vitrine. Le module fonctionne exclusivement dans le back-office
• Timeouts stricts : délai d'attente de 10 secondes sur chaque requête HTTP pour éviter tout ralentissement

Support complet Multiboutique

Chaque boutique de votre configuration multiboutique bénéficie de sa propre configuration indépendante, de son historique de scan, de son score de sécurité, de ses rapports de résultats et de son fichier d'export IA. Scannez chaque boutique séparément et comparez les niveaux de sécurité sur l'ensemble de votre réseau.

Architecture technique moderne

• Système de double contrôleur : contrôleurs Symfony avec templates Twig pour PrestaShop 8.x et 9.x (Symfony 6.4), ModuleAdminController legacy avec templates Smarty pour PrestaShop 1.7.x
• Tableau de bord Alpine.js : interface back-office réactive, rapide et moderne
• Autoloading PSR-4 : architecture PHP propre et modulaire avec 8 classes de scanner indépendantes implémentant une ScannerInterface commune
• Wrapper cURL personnalisé : toutes les requêtes HTTP utilisent une classe HttpClient dédiée avec User-Agent identifiable, timeouts stricts et vérification SSL
• Traductions complètes : Anglais (par défaut) et Français via des fichiers .xlf avec le domaine Modules.Weprestasecurityaudit.Admin
• Aucun override du cœur : zéro modification des fichiers natifs de PrestaShop
• Configuration minimale : extensions PHP cURL, JSON et OpenSSL (standard chez tous les hébergeurs)

À qui s'adresse ce module ?

• Aux propriétaires de boutiques qui veulent savoir si leur site est sécurisé — sans avoir besoin de connaissances techniques
• Aux agences gérant plusieurs boutiques PrestaShop qui ont besoin d'un outil d'évaluation de sécurité rapide et reproductible
• Aux développeurs qui souhaitent auditer leur code et leurs modules avant le déploiement
• À toute personne concernée par les attaques basées sur l'IA — car si vous ne scannez pas votre propre boutique, quelqu'un d'autre le fera