Retour au blog
réseauTLSDNSinfrastructure

TLS, DNS, BGP : les failles réseau qui touchent les apps web

Publié le 2026-04-107 min de lectureFlorian

Les protocoles invisibles qui portent vos applications

Votre application web repose sur des couches de protocoles réseau que vous ne configurez peut-être jamais directement : TLS pour le chiffrement, DNS pour la résolution de noms, BGP pour le routage Internet. Des failles dans ces couches compromettent votre application indépendamment de la qualité de votre code.

TLS : le chiffrement qui peut être insuffisant

Versions obsolètes

TLS 1.0 et 1.1 sont officiellement dépréciés depuis 2021 (RFC 8996). Ils contiennent des failles cryptographiques connues (BEAST, POODLE). Certaines applications de PME acceptent encore ces versions pour la compatibilité avec d'anciens clients.

Suites de chiffrement faibles

Même avec TLS 1.2, certaines suites de chiffrement sont vulnérables. Les suites utilisant CBC avec MAC-then-encrypt, les suites RSA sans forward secrecy, et les suites avec des clés de moins de 128 bits doivent être désactivées.

Certificats mal gérés

Certificats expirés, certificats auto-signés en production, absence de renouvellement automatique. Mais aussi : wildcard certificates qui couvrent des domaines non liés, ou des certificats qui incluent des noms de domaines internes.

Vérification : openssl s_client -connect domain.com:443 pour vérifier la chaîne de certificats et les protocoles acceptés.

DNS : la résolution de noms détournable

DNS spoofing et cache poisoning

Un attaquant qui contrôle les réponses DNS redirige votre domaine vers son serveur. DNSSEC protège contre ce risque mais reste peu déployé. Moins de 10% des domaines .fr sont signés DNSSEC.

Dangling DNS (DNS pendants)

Un enregistrement CNAME qui pointe vers un service cloud que vous avez supprimé. Un attaquant peut réclamer ce service et prendre le contrôle du sous-domaine. C'est un vecteur de subdomain takeover.

Exemple : votre staging.monapp.fr pointe vers un bucket S3 staging.monapp.fr.s3.amazonaws.com que vous avez supprimé. Un attaquant crée un bucket avec le même nom et contrôle le contenu servi sur votre sous-domaine.

Exfiltration par DNS

Le DNS est rarement filtré par les firewalls. Un attaquant peut exfiltrer des données en les encodant dans les requêtes DNS : base64encodeddata.evil.com. Chaque requête transporte quelques octets de données volées.

BGP : le routage Internet vulnérable

BGP hijacking

BGP est le protocole de routage entre les fournisseurs Internet. Il repose sur la confiance mutuelle sans vérification cryptographique. Un opérateur (malveillant ou par erreur) peut annoncer vos préfixes IP et intercepter votre trafic. En 2018, du trafic vers Amazon Route 53 a été détourné pour voler des cryptomonnaies.

Impact pour une PME

Vous ne contrôlez pas BGP directement, mais vous pouvez :

  • Surveiller vos préfixes IP avec des outils comme BGPStream
  • Utiliser RPKI pour signer vos annonces de routes si vous avez vos propres préfixes
  • Choisir des hébergeurs qui implémentent la validation RPKI

    • Défenses transversales

  • TLS 1.3 uniquement si votre base d'utilisateurs le permet. Sinon TLS 1.2 minimum avec des suites AEAD (AES-GCM, ChaCha20-Poly1305)
  • HSTS avec preload : forcez HTTPS et inscrivez votre domaine dans la liste de preload des navigateurs
  • DNSSEC : signez votre zone DNS, surtout si vous êtes dans un secteur régulé
  • Monitoring des enregistrements DNS : détectez les modifications non autorisées
  • Certificate Transparency : surveillez les certificats émis pour vos domaines

    • Chez CleanIssue, nous vérifions la configuration TLS, les enregistrements DNS et les headers de sécurité réseau lors de chaque audit. Parlez-nous de votre revue externe.

    Articles liés

    Trois analyses proches pour continuer la lecture sur la meme surface de risque.

    cloudKubernetes

    Kubernetes : 7 vulnérabilités critiques que nous trouvons en audit

    Les sept failles de configuration Kubernetes les plus fréquentes dans nos audits : RBAC, secrets, network policies, pods privilégiés et plus.

    2026-04-09 · 7 min de lecture
    ZooKeeperinfrastructure

    ZooKeeper et CVE-2026-24308 : quand la configuration fuit dans les logs

    CVE-2026-24308 montre qu une mauvaise gestion des valeurs de configuration peut exposer des informations sensibles dans les logs client ZooKeeper.

    2026-04-11 · 5 min de lecture
    cloudAWS

    Sécurité cloud AWS, GCP, Azure : les 10 erreurs IAM les plus courantes

    Les erreurs de configuration IAM qui exposent votre infrastructure cloud : permissions excessives, credentials statiques, MFA manquant, et plus.

    2026-04-08 · 8 min de lecture

    Sources

    Rédigé par Florian
    Revu le 2026-04-10

    Analyse éditoriale fondée sur la documentation officielle des éditeurs, projets et autorités concernées.

    Services associés

    Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.

    Audit Complet

    Documenter toutes les failles prioritaires et obtenir un vrai plan de remédiation.

    Besoin d'une revue externe de votre SaaS RH ?

    Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

    Parler de votre audit