Audit API et webhooks

Vos API et callbacks.
Le vrai cœur du risque.

Sur beaucoup d'applications, la faille critique n'est ni sur la landing page ni dans le login. Elle se cache dans une API métier, une route admin oubliée, un webhook non signé ou une documentation technique trop bavarde. Cet audit se concentre sur ces surfaces-là.

Ce que nous vérifions

REST, GraphQL et documentation publique

Swagger et OpenAPI, introspection, routes non documentées, réponses techniques, modèles de données et plan d'architecture exposé depuis l'extérieur.

Contrôles d'accès et isolation objet

IDOR, rôles, séparation utilisateur et tenant, exports, routes admin, logique métier et niveau d'authentification réellement exigé.

Mass assignment, validation et erreurs

Paramètres inattendus, champs trop puissants, messages d'erreur trop parlants, logique de prix, de statut ou de rôle pilotable par le client.

Webhooks et automatisations

HMAC, authentification par en-tête, callbacks Stripe, n8n, Make, CRM, paiement, onboarding et workflows capables de créer ou modifier des données sans exiger assez d'identité.

Ce que nous trouvons souvent

Docs et specs publiques très utiles à un attaquant

Swagger ou GraphQL donnent une vision quasi boîte blanche de l'API, alors que les équipes pensent souvent n'exposer qu'un front.

Objet accessible avec le mauvais utilisateur

Changer un identifiant, un filtre ou une valeur dans une requête suffit à voir ou modifier les données d'un autre client.

Webhook non signé ou trop confiant

Un callback sans signature sérieuse permet de rejouer un événement de paiement, créer un compte ou déclencher une automatisation interne.

Logique métier déplacée côté client

Prix, rôle, statut, tenant ou montant sont encore décidés trop près du navigateur ou de l'intégration externe.

Idéal pour

  • SaaS et plateformes métier dont la valeur passe surtout par des API et des automatisations
  • Stacks qui exposent REST, GraphQL, docs Swagger, callbacks de paiement ou webhooks n8n ou Make
  • Équipes qui répondent à des questionnaires sécurité orientés API
  • Produits qui veulent vérifier la logique métier exposée avant un incident ou un audit client

Lectures et pages associées

Les 6 vulnérabilités GraphQL que les scanners ratent

Un bon complément si votre surface GraphQL est riche ou peu segmentée.

n8n webhooks : pourquoi vos automatisations sont vulnérables

Le schéma typique du webhook visible dans le JavaScript public.

WordPress REST API : routes dangereuses

Exemple très concret de surface API sous-estimée sur un CMS pourtant courant.

Méthodologie de revue externe

Comment on vérifie une API ou un webhook sans transformer ça en pentest intrusif.

FAQ

Besoin d'une revue externe de votre SaaS RH ?

Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

Parler de votre audit