CHECKCYBER

[ FIELD-MANUAL // MÉTHODOLOGIE ]

Comment ça marche ?

CheckCyber transforme la configuration publique d'un site web en un rapport de sécurité clair et actionnable. Vous saisissez une URL, le moteur exécute en parallèle 19 contrôles techniques non-intrusifs, puis un calcul 100% déterministe en déduit un score sur 100, sans aucune intelligence artificielle.

[ ÉTAPE // 01 ]

Acquisition

Vous entrez un domaine. La cible est validée et les requêtes internes/privées sont refusées (anti-SSRF).

[ ÉTAPE // 02 ]

Balayage

19 contrôles non-intrusifs lancés en parallèle : TLS, en-têtes HTTP, DNS, fichiers exposés…

[ ÉTAPE // 03 ]

Notation

Chaque faille applique une pénalité déterministe. Score, verdict et correctifs sont générés.

[ SURFACE-DIAGNOSTIC // 19 VECTEURS ]

CHIFFREMENT

  • Certificat SSL/TLS : validité, émetteur, expiration, protocole
  • Protocoles obsolètes (TLS 1.0 / 1.1) acceptés
  • Redirection automatique HTTP → HTTPS
  • HSTS : présence et robustesse (durée, sous-domaines)

EN-TÊTES & NAVIGATEUR

  • Content-Security-Policy (protection anti-XSS)
  • X-Frame-Options (anti-clickjacking)
  • X-Content-Type-Options, Referrer-Policy, Permissions-Policy
  • Sécurité des cookies (Secure, HttpOnly, SameSite)
  • Configuration CORS permissive

EXPOSITION

  • Fichiers sensibles accessibles (.env, .git, sauvegardes…)
  • Chemins sensibles révélés par robots.txt
  • Méthodes HTTP dangereuses (TRACE, PUT, DELETE…)
  • Fuite de versions logicielles dans les en-têtes
  • Canal de signalement security.txt (RFC 9116)

DOMAINE & PILE TECHNIQUE

  • Anti-usurpation e-mail : SPF, DMARC, CAA
  • Pile technologique détectée (CMS, framework, serveur)
  • Bibliothèques JavaScript en version vulnérable connue
  • Logiciels serveur en fin de vie (EOL)

[ CADRE LÉGAL // NON-INTRUSIF ]

Un audit équivalent à une simple visite

Tous les contrôles sont équivalents à ce que fait un navigateur ou un moteur de recherche : handshake TLS standard, lecture des en-têtes de réponse, requête GET /robots.txt, résolutions DNS publiques. Aucune attaque, aucune injection, aucune donnée applicative échangée. Un garde-fou anti-SSRF bloque les cibles internes ou privées. CheckCyber ne constitue pas un test d'intrusion : analysez uniquement des sites que vous possédez ou que vous êtes autorisé à auditer.

[ FAQ // QUESTIONS FRÉQUENTES ]

CheckCyber est-il vraiment gratuit et sans inscription ?

Oui. CheckCyber est 100% gratuit, anonyme et ne demande aucune inscription. Le service est financé par la publicité (Google AdSense). Aucun compte, aucune carte bancaire, aucune limite d'usage hormis une courte temporisation entre deux scans.

Est-ce légal de scanner un site avec CheckCyber ?

CheckCyber réalise uniquement des requêtes non-intrusives, équivalentes à une visite avec un navigateur web standard : lecture du certificat TLS, des en-têtes HTTP de réponse, du fichier robots.txt public et de quelques enregistrements DNS. Il n'exécute aucun test d'intrusion, aucune attaque ni aucune injection. Vous devez toutefois n'analyser que des sites dont vous êtes propriétaire ou pour lesquels vous avez une autorisation.

Qu'est-ce qu'un audit de surface ?

Un audit de surface analyse la configuration publique d'un site — ce que n'importe quel visiteur ou moteur de recherche peut déjà observer — pour en déduire sa posture de sécurité. Il ne remplace pas un test d'intrusion (pentest) complet, qui sonde activement les vulnérabilités applicatives avec autorisation.

Mes données ou les résultats sont-ils conservés ?

Non. Le scan est éphémère : aucune base de données, aucune session, aucun rapport stocké sur nos serveurs. Le comparatif avant/après est calculé localement dans votre navigateur (localStorage) et ne quitte jamais votre appareil.

Comment vérifier le certificat SSL/TLS de mon site ?

Saisissez votre domaine sur CheckCyber : l'outil ouvre une connexion TLS, vérifie la validité du certificat, son émetteur, sa date d'expiration et le protocole négocié. Il signale aussi le support de protocoles obsolètes (TLS 1.0/1.1) et l'absence de redirection HTTP vers HTTPS.

Comment tester les en-têtes de sécurité (HSTS, CSP, X-Frame-Options) ?

CheckCyber lit les en-têtes HTTP renvoyés par votre serveur et détecte ceux qui manquent ou sont mal configurés : Strict-Transport-Security (HSTS), Content-Security-Policy (CSP), X-Frame-Options, X-Content-Type-Options, Referrer-Policy et Permissions-Policy. Chaque manque est expliqué avec le correctif exact à appliquer.

Comment savoir si mon domaine est protégé contre l’usurpation d’e-mail ?

L'audit interroge les enregistrements DNS de votre domaine pour vérifier la présence de SPF et de DMARC (ainsi que la rigueur de la politique DMARC : p=none, quarantine ou reject) et d'un enregistrement CAA. Sans SPF ni DMARC, un attaquant peut plus facilement envoyer des e-mails en se faisant passer pour vous (phishing).

Comment interpréter le score de sécurité sur 100 ?

Le score part de 100 et chaque faille détectée applique une pénalité selon sa gravité (critique, moyenne, faible). Le calcul est 100% déterministe : les mêmes mesures techniques donnent toujours le même score, sans aucune intelligence artificielle ni interprétation aléatoire. Au-dessus de 90, la posture est solide ; en dessous de 50, une intervention est recommandée.

Puis-je exporter ou partager mon rapport ?

Oui. Depuis le rapport, le bouton « Télécharger le PDF » génère un document propre via l'impression de votre navigateur (choisissez « Enregistrer au format PDF »). Le bouton « Partager le résultat » crée un lien de re-scan : le destinataire obtient un audit fraîchement recalculé, jamais une donnée figée.

▶ Lancer un audit gratuit

[ CheckCyber // GRATUIT · ANONYME · SANS COMPTE ]

CHECKCYBER

[ SURFACE-AUDIT ENGINE // GRATUIT · ANONYME · SANS COMPTE ]

CheckCyber réalise un audit de surface non-intrusif basé exclusivement sur des informations publiques. Cet outil ne constitue pas un test d’intrusion et n’interagit pas activement avec les serveurs cibles. © 2026 CheckCyber.