Qu'analysons-nous ?
Les cookies stockent des informations sensibles comme les jetons de session. S'ils ne sont pas correctement configurés, un attaquant peut les voler et usurper l'identité de l'utilisateur légitime.
Flags vérifiés
Flag Secure
Le cookie est envoyé uniquement via HTTPS, jamais sur des connexions non chiffrées.
Flag HttpOnly
Le cookie n'est pas accessible via JavaScript, le protégeant contre les failles XSS.
Attribut SameSite
Contrôle si le cookie est envoyé dans les requêtes intersites, prévenant les failles CSRF.
Temps d'expiration
Vérification que les cookies de session ne persistent pas indéfiniment.
Pourquoi est-ce important ?
Un cookie de session volé permet à l'attaquant d'accéder au compte de l'utilisateur sans connaître son mot de passe. Des attaques comme XSS ou le sniffing réseau peuvent capturer des cookies mal configurés.
Impact si cela échoue
- Vol de session utilisateur (session hijacking)
- Accès non autorisé aux comptes utilisateurs
- Usurpation d'identité
- Compromission de données personnelles
Sanctions potentielles
| Type d'entreprise | Amende indicative |
|---|---|
| Micro-entreprise | 5 000 - 30 000 € |
| PME | 30 000 - 200 000 € |
| Grande entreprise | Jusqu'à 10M € ou 2% du CA |