Retour au blog
n8ntechniquewebhooks

n8n webhooks : pourquoi vos automations sont vulnérables aux attaques

Publié le 2026-03-125 min de lectureCleanIssue

> En bref : Les webhooks n8n exposés dans le frontend permettent des attaques non authentifiées. Voici comment sécuriser vos workflows.

n8n : l'automation exposée

n8n est un outil d'automation puissant utilisé par de nombreuses startups. Le problème : les URLs de webhooks sont souvent hardcodées dans le JavaScript frontend : accessibles à tout visiteur.

Ce que nous avons trouvé

Sur une plateforme de formation, un webhook n8n hardcodé dans le JS admin permettait la création de comptes avec n'importe quel niveau d'accès. Paramètres : email, nom, mot de passe en clair, niveau d'accès. Temps d'exploitation : 2 minutes.

Les risques

  • Création de comptes admin non autorisée
  • Exécution de workflows coûteux (consommation de ressources)
  • Injection de données dans vos systèmes
  • Accès à des intégrations tierces (Slack, email, CRM)
  • Comment sécuriser

  • N'exposez JAMAIS les URLs de webhook dans le frontend
  • Utilisez l'authentification par header sur les webhooks n8n
  • Validez les données entrantes dans chaque workflow
  • Protégez l'interface n8n elle-même (6 CVE critiques identifiées en 3 mois)
  • À retenir

  • Signez chaque webhook sortant avec HMAC-SHA256 et vérifiez la signature côté récepteur.
  • Implémentez un mécanisme anti-rejeu avec un nonce ou un timestamp expirant.
  • Ne transmettez jamais de données sensibles (IBAN, NIR) en clair dans le payload — utilisez des références.
  • Vous éditez un logiciel RH, paie ou recrutement ? CleanIssue réalise des audits de sécurité pour SaaS RH en conditions réelles, sans accès au code. Pour une première lecture de votre exposition, commencez par une revue externe de votre application.

    Besoin d'une revue externe de votre SaaS RH ?

    Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

    Parler de votre audit