Aller au contenu

Security

Dernière mise à jour : 7 septembre 2024

Version 1.0

Dans le cadre de notre engagement continu en matière de sécurité et de protection des données utilisateur, nous effectuons régulièrement des tests d’intrusion sur notre application web. Ce document décrit nos méthodologies de test, fournit un résumé des résultats et met en avant notre approche d’amélioration continue de la sécurité.

Ce document sera mis à jour à mesure que de nouveaux rapports seront produits ou lorsque des changements importants se produiront.

Domaines d’application :
*.wink.travel
*.trippay.io

Nos tests d’intrusion sont réalisés chaque année, et des tests supplémentaires sont programmés si nécessaire suite à des mises à jour importantes de l’application ou de l’infrastructure. Cette cadence de tests régulière nous permet de rester à l’affût des menaces en constante évolution et de maintenir un environnement sécurisé.

Nos tests de pénétration sont complets et couvrent un large éventail d’aspects de sécurité, y compris, mais sans s’y limiter :

  • Top 10 de l’OWASP :Nos tests ciblent spécifiquement les risques de sécurité les plus critiques, tels que l’injection, l’authentification rompue et les scripts intersites (XSS).
  • Tests de boîte noire et de boîte grise :En fonction de la portée, notre équipe utilise ces méthodologies pour simuler des scénarios d’attaque externes et internes.
  • Tests automatisés et manuels :Nous utilisons Burp Suite Pro, un outil de test de sécurité de pointe, pour réaliser des analyses de sécurité automatisées et soutenir les techniques de test manuel afin d’identifier les vulnérabilités complexes et d’obtenir la meilleure couverture possible. Pour une identification plus précise des vulnérabilités, nous utilisons des outils spécialisés, comme SQLmap.

Voici un résumé de haut niveau de notre rapport de test de pénétration le plus récent :

  • Total des vulnérabilités identifiées :2
  • Répartition de la gravité :
    • Critique : 2
  • Types de vulnérabilités détectées :
    • Contrôle d’accès brisé
    • Conception non sécurisée

Pour des conclusions détaillées, veuillez vous référer au rapport complet.

Les deux vulnérabilités découvertes sont considérées comme critiques, car elles auraient pu avoir de graves conséquences financières. La première a permis à un utilisateur authentifié malveillant de prendre le contrôle du compte de paiement Trippay d’une autre entreprise. La seconde a permis à un utilisateur malveillant de modifier le montant du paiement requis pour une réservation.

Nous avons pris les mesures suivantes pour remédier aux vulnérabilités identifiées :

  • Correctifs immédiats :Les vulnérabilités critiques ont été corrigées dans les 48 heures suivant leur découverte.
  • Révision et renforcement du code :L’équipe de développement a mis en place des contrôles de sécurité supplémentaires basés sur nos recommandations.

Les tests d’intrusion s’inscrivent dans notre stratégie globale d’amélioration continue de la sécurité. Les résultats de chaque test orientent nos politiques de sécurité, influencent nos pratiques de développement et favorisent l’amélioration de notre architecture de sécurité.

Nos tests d’intrusion sont réalisés par un professionnel interne possédant une vaste expérience dans divers projets et secteurs. Grâce à des outils et méthodes de pointe, notre expert garantit que notre application est rigoureusement testée contre les dernières menaces de sécurité.

Nous nous engageons à maintenir un environnement applicatif sécurisé pour nos utilisateurs et nos parties prenantes. Nos efforts continus en matière de tests et d’amélioration de la sécurité témoignent de notre engagement à vous protéger contre les menaces en constante évolution.

Ce document sera mis à jour régulièrement à mesure que de nouveaux rapports de tests d’intrusion seront publiés. Pour accéder au rapport complet, veuillez nous contacter à l’adresse e-mail ci-dessous. Les prochaines mises à jour incluront les vulnérabilités nouvellement identifiées, les mesures correctives et les ajustements apportés à nos méthodologies de test.

Pour toute question complémentaire, veuillez contacter [email protected].