Études de Cas
Des exemples concrets d'investigations menées par Hacksessible. Les organisations sont anonymisées mais les résultats sont réels.
ETI bancaire - 3 vulnérabilités critiques en 48h
Contexte & défi
Une ETI du secteur bancaire régional devait démontrer sa conformité NIS2 et DORA avant un audit réglementaire prévu dans 3 mois. Son dernier pentest manuel datait de 18 mois. Le RSSI avait besoin de cartographier rapidement les risques réels sur 4 applications critiques sans interrompre les opérations.
Approche
Déploiement de la plateforme Hacksessible en mode non-intrusif sur le périmètre applicatif défini. Investigation IA sur les endpoints d'authentification, les APIs de virement et le portail client. Analyse des chaînes d'attaque potentielles avec enrichissement CVSS + EPSS + CISA KEV.
Résultats
✓
3 vulnérabilités CVSS >= 9.0 identifiées en moins de 48 heures
✓
1 IDOR critique permettant l'accès aux comptes de tous les clients
✓
2 failles d'injection sur l'API de virement interne
✓
Rapport de conformité NIS2/DORA généré automatiquement
✓
Remédiation complète validée en 3 semaines
SaaS healthtech - Fuite cross-tenant identifiée avant certification HDS
Contexte & défi
Une scale-up healthtech en cours de certification HDS (Hébergeur de Données de Santé) devait valider l'isolation entre ses tenants clients avant de soumettre son dossier. Une fuite de données de santé aurait été catastrophique - juridiquement, réputationnellement, et pour les patients concernés.
Approche
Investigation ciblée sur l'isolation multi-tenant de l'API REST et du moteur de requêtes. Test des mécanismes d'autorisation, des endpoints GraphQL et des paramètres de filtrage. Simulation d'un attaquant disposant d'un compte légitime cherchant à accéder aux données d'autres tenants.
Résultats
✓
Fuite cross-tenant identifiée sur 2 endpoints GraphQL
✓
Accès possible aux données de santé de patients d'autres organisations
✓
Preuve technique reproductible fournie à l'équipe dev en 6h
✓
Correctif déployé et re-testé avant la soumission HDS
✓
Certification HDS obtenue sans réserve sur ce point
E-commerce - Manipulation de prix et race conditions détectées
Contexte & défi
Une plateforme e-commerce B2B traitant 2M€ de transactions mensuelles subissait des anomalies inexpliquées dans ses rapports financiers. La suspicion d'une manipulation applicative planait, mais les équipes techniques ne trouvaient pas la cause.
Approche
Analyse complète du tunnel de commande, des APIs de panier et de paiement, et des mécanismes de calcul de prix. Investigation des race conditions, des manipulations de paramètres côté client et des incohérences dans le traitement des promotions et codes promo.
Résultats
✓
2 race conditions exploitables permettant la commande à prix négatif
✓
Manipulation de paramètres de remise sur 3 endpoints
✓
Bypass du système de validation des codes promo
✓
Estimation de la perte financière potentielle : 80 000 euros/mois
✓
Toutes les failles corrigées et validées en 2 semaines
Votre secteur est concerné ?
Prenez rendez-vous pour discuter de votre situation et voir une démonstration sur un périmètre similaire au vôtre.