01 / Pilier principal
Transport & chiffrement
HTTPS actif, redirection automatique depuis le HTTP, certificat TLS valide et version de protocole à jour. La base sans laquelle rien d'autre ne compte.
Collez l'URL de votre site. On analyse ses en-têtes de sécurité, son certificat TLS, ses cookies et ses redirections, puis on vous remet un rapport des vulnérabilités classé par niveau de gravité.
Aucune inscription · 100% passif et éthique · Aucune donnée stockée
Ce qu'on analyse
Le scanner passe en revue tout ce qu'un navigateur voit publiquement de votre site : rien de plus, rien de moins. Aucune tentative d'intrusion, aucune requête agressive.
01 / Pilier principal
HTTPS actif, redirection automatique depuis le HTTP, certificat TLS valide et version de protocole à jour. La base sans laquelle rien d'autre ne compte.
HSTS, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy et Permissions-Policy. Les premières lignes de défense côté navigateur.
Attributs Secure, HttpOnly et SameSite sur chaque cookie posé. Une session mal protégée est une porte ouverte au détournement.
Fuites de version via les en-têtes Server et X-Powered-By, contenu mixte (http:// sur une page https), CORS trop permissif et security.txt.
Comment ça marche
Entrez l'adresse de votre site. Aucune installation, aucun accès à votre serveur, aucun compte requis.
Analyse passive et éthique : en-têtes HTTP, certificat TLS, cookies, redirection HTTPS et contenu mixte. On ne touche jamais à vos données.
Chaque vulnérabilité est notée par gravité, avec une recommandation concrète et une note globale de A à F.
Manifeste
La plupart des vulnérabilités web ne viennent pas d'un piratage sophistiqué, mais d'une configuration oubliée : un en-tête absent, un cookie non protégé, un certificat expiré. Ce sont les premières choses qu'un attaquant automatisé vérifie, et les premières que vous pouvez corriger aujourd'hui.
43%
des cyberattaques visent les petites entreprises et leurs sites (Verizon DBIR)
1/2
des sites n'ont pas d'en-tête de sécurité HTTP correctement configuré
277j
en moyenne pour détecter puis contenir une brèche de données (IBM)
< 1 min
suffit à un attaquant pour repérer un certificat ou un en-tête manquant
Question 01 / 08
Oui, totalement. Aucune inscription, aucune carte bancaire. Vous collez l'URL de votre site et vous obtenez un rapport de vulnérabilités immédiat.
Et maintenant ?
On corrige vos failles à la source : en-têtes de sécurité, certificats TLS, cookies, CSP et durcissement complet de votre site. Priorisé par impact, sans jargon inutile.