Les 12 attaques que tu vas vraiment rencontrer
Un infopreneur qui vendait des formations a vu son compte Stripe vider 4 800 € en une nuit. Pas via une faille Stripe. Via une CVE Node.js qui a permis la lecture de son fichier
.envpartagé entre ses services. Il n'avait aucune alerte, aucun log côté applicatif, et a compris ce qui s'était passé trois semaines après.
Le problème avec les listes d'attaques habituelles — OWASP Top 10, CVE en vrac, rapport ANSSI — c'est qu'elles parlent à des équipes de sécurité. Toi, tu es seul ou presque, tu déploies sur un VPS, tu vends des formations ou un SaaS en early-access, et tu n'as pas encore de RSSI.
Cet article te donne les 12 attaques que tu vas réellement rencontrer dans tes 3 premières années en ligne : celles que les scanners, les groupes de ransomware opportunistes et les bots programmés déclenchent sans même te viser personnellement. Pour chacune : comment ça marche, comment tu le vois côté victime, ce que ça coûte, et quelle contre-mesure de base tu peux poser.
Ces 12 attaques sont groupées en 4 familles selon ce qu'elles ciblent.
Famille A — Attaques opportunistes (botnets et scanners)
Ces attaques ne te visent pas toi. Elles visent ta classe de configuration. Le bot scanne internet en permanence et frappe tout ce qui ressemble à une cible facile. Si tu n'as pas de mesure de base, tu es dans la liste.
1. Credential stuffing
Mécanique. Des bases de données d'identifiants leakés (email + mot de passe) sont disponibles en clair ou semi-clair sur des forums underground. Des bots les testent en masse sur tous les formulaires de login qu'ils trouvent. Si ton utilisateur a réutilisé son mot de passe Gmail ailleurs, et que ce mot de passe a fuité une fois, le bot l'essaie sur ton site. Il n'a pas à « pirater » quoi que ce soit.
Comment tu le vois. Pic de tentatives de login dans tes logs, souvent depuis des dizaines d'IP différentes (réseau de proxies). Ton taux d'échec d'authentification explose, parfois des comptes utilisateurs se font compromettre sans que tu aies rien fait de mal.
Coût typique. Si un compte compromis a accès à des commandes, des licences ou des données clients : plusieurs heures d'investigation, éventuellement remboursements, perte de confiance. Sans détection précoce, tu l'apprends via un email de client furieux.
Contre-mesure de base. Rate-limiting sur le formulaire de login + MFA obligatoire pour les comptes à privilèges. Pas optionnel.
Toolkit Cyberviseur. T-01-03 (Next.js boilerplate sécurisé) inclut le rate-limiting Arcjet et la configuration d'Arcjet Shield sur les routes d'authentification.
2. Brute force admin
Mécanique. Variante du credential stuffing, mais ciblée sur des panels d'administration connus : /wp-admin, /admin, /login, les panels hébergeurs (cPanel, Plesk, Coolify exposé). Le bot teste des combinaisons login/mot de passe en séquence. Il n'a pas besoin d'une liste de leaks — il teste les défauts et les mots de passe courants.
Comment tu le vois. Logs d'accès avec des centaines de tentatives POST sur ta route admin, souvent la nuit. Si tu n'as pas de logs applicatifs configurés, tu ne le vois pas du tout — c'est le cas le plus fréquent.
Coût typique. Accès complet à ton panel admin si le mot de passe est faible ou par défaut. Toutes les données clients, toutes les clés API stockées dans le panel.
Contre-mesure de base. Ne jamais exposer ton panel Coolify ou hébergeur sans IP allowlist ou VPN. MFA partout. Mot de passe généré (pas mémorisé) sur chaque panel.
Toolkit Cyberviseur. T-01-01 (VPS hardened + Coolify sécurisé) — configuration réseau et exposition des services internes.
3. Scan de surface (Shodan, Censys, scanners CVE)
Mécanique. Des services comme Shodan et Censys indexent l'intégralité des ports ouverts sur internet. Dès que ton VPS est en ligne, il est indexé en quelques heures. Des scanners automatiques cherchent ensuite les versions logicielles exposées (bannières SSH, headers HTTP) et les comparent à des bases de CVE connues. Si tu exposes un service avec une version vulnérable, tu es dans la liste des cibles candidates.
Comment tu le vois. Tu ne le vois souvent pas — jusqu'à l'exploitation. En amont, des outils comme Shodan te permettent de chercher ton propre IP et de voir ce que le monde voit de toi.
Coût typique. Variable selon la CVE exploitée. Une CVE critique sur un service exposé peut donner accès root au serveur.
Contre-mesure de base. N'expose que les ports strictement nécessaires (80/443 au minimum). Maintiens tes services à jour. Vérifie ta surface avec Shodan en passant ton propre IP.
Toolkit Cyberviseur. T-01-01 (hardening VPS, fermeture des ports inutiles, configuration firewall).
4. Spam SMTP via formulaire de contact
Mécanique. Ton formulaire de contact envoie un email — souvent via un service transactionnel (SendGrid, Mailgun, Postmark) ou directement via SMTP. Des bots détectent les formulaires ouverts et les utilisent comme relais pour envoyer du spam ou du phishing en masse, en passant par ton IP ou ton domaine expéditeur. Résultat : ton domaine se fait blacklister.
Comment tu le vois. Soudainement, tes emails legit ne passent plus. Tes notifications Stripe arrivent en spam. Ton taux de délivrabilité s'effondre. Tu reçois peut-être des messages automatiques de désinscription d'inconnus. Les services SMTP (Postmark, Mailgun) peuvent suspendre ton compte.
Coût typique. Perte de délivrabilité email pendant des semaines, sortie des blacklists qui prend du temps et parfois du conseil payant, interruption des ventes si les emails de confirmation ne passent plus.
Contre-mesure de base. CAPTCHA (ou honeypot invisible) sur tout formulaire de contact. SPF + DKIM + DMARC configurés correctement sur ton domaine.
Toolkit Cyberviseur. T-01-03 (protection formulaires) + hygiène générale phase 01 (DNS, SPF/DKIM/DMARC via T-01-02).
Famille B — Attaques sur la chaîne d'approvisionnement
Tu ne peux pas tout auditer. Chaque dépendance npm, chaque service tiers, chaque fournisseur intégré dans ta stack est un maillon. Les attaquants le savent.
5. Compromission de paquet npm
Mécanique. Trois variantes : le typosquatting (un paquet lodahs qui ressemble à lodash), le rachat d'un paquet légitime abandonné par son mainteneur (l'attaquant publie une version avec du code malveillant), et les scripts postinstall qui s'exécutent au moment du npm install et peuvent exfiltrer ton environnement. GitGuardian a documenté des milliers de cas où des secrets étaient lus via des scripts npm malveillants.
Comment tu le vois. Souvent, pas du tout jusqu'à ce qu'un chercheur publie un rapport ou que npm retire le paquet. Si tu n'as pas d'audit de dépendances en CI, tu le découvres via la presse tech.
Coût typique. Exfiltration de tous les secrets présents dans l'environnement au moment du npm install. Sur un CI/CD, ça peut inclure tous tes tokens de déploiement.
Contre-mesure de base. npm audit en CI à chaque push. Pinne tes dépendances avec lock file versionné. Méfie-toi des paquets avec peu de téléchargements qui s'appellent comme des paquets connus.
Toolkit Cyberviseur. T-01-04 (CI/CD sécurisé, intégration npm audit dans le pipeline GitHub Actions).
6. CVE sur composant non patché
Mécanique. Next.js, Node.js, les librairies de parsing (Zod, Express, Fastify) et les ORM reçoivent régulièrement des CVE. Une CVE critique peut permettre l'exécution de code arbitraire, la lecture de fichiers système ou le contournement d'authentification. Si tu n'es pas abonné aux alertes et que tu ne mets pas à jour, tu restes vulnérable des semaines ou des mois après la publication.
Comment tu le vois. Tu ne le vois pas avant l'exploitation. Les CVE sont publiques, donc les scanners opportunistes s'en emparent immédiatement après leur publication.
Coût typique. Selon la CVE : lecture du système de fichiers (y compris .env), exécution distante de code, prise de contrôle totale du serveur.
Contre-mesure de base. Dépendances à jour systématiquement. Alertes GitHub Dependabot activées. npm audit automatisé.
Toolkit Cyberviseur. T-01-04 (CI/CD, pipeline de qualité + sécurité) et T-01-05 (rotation des secrets si une clé est exposée via CVE).
7. Phishing fournisseur
Mécanique. Tu reçois un email qui ressemble à un email Stripe, GitHub ou Vercel : « Ton compte a une activité suspecte, clique ici pour sécuriser ». Le lien pointe vers une page de phishing qui clone parfaitement l'interface réelle. Tu entres tes identifiants. L'attaquant a accès à ton compte Stripe, ton repo GitHub, ou ton panel de déploiement.
Comment tu le vois. Souvent, tu ne le vois pas jusqu'à ce que tu constates une action non autorisée (paiement annulé, push non reconnu, déploiement inattendu). Parfois, le service t'envoie une alerte de connexion depuis un pays inconnu.
Coût typique. Accès total au service compromis. Sur Stripe : retraits, remboursements forcés, liste clients. Sur GitHub : accès aux secrets dans les CI/CD.
Contre-mesure de base. MFA hardware (clé physique FIDO2) ou TOTP sur tous tes services critiques. Ne jamais cliquer un lien d'email pour te connecter — ouvre l'onglet directement.
Toolkit Cyberviseur. Hygiène générale phase 01 (MFA sur services tiers, liste des services critiques documentés dans T-01-01 et T-01-05).
Famille C — Attaques sur tes secrets et ton identité
Ces attaques visent ce qui t'identifie sur internet : ton domaine, tes clés API, ta session. Une fois compromis, ton identité peut être usurpée.
8. Latéralisation via .env partagé
Mécanique. Quand tous tes secrets (clé Stripe, clé Mailgun, token base de données, clé Infisical elle-même) vivent dans un seul fichier .env, la compromission d'un seul service donne accès à tout le reste. Un service tiers avec une CVE qui permet de lire le système de fichiers lit ton .env et exfiltre toutes tes clés en une seule opération. C'est exactement le scénario décrit dans l'introduction.
Comment tu le vois. Tu ne le vois pas en temps réel. Tu le découvres quand plusieurs services sont utilisés anormalement en même temps : transactions Stripe non reconnues + envois d'emails non initiés + push GitHub non autorisés.
Coût typique. Compromission en cascade de tous les services connectés. Temps de réponse très élevé car il faut roter toutes les clés de tous les services en parallèle.
Contre-mesure de base. Chaque service a son propre jeu de clés, avec des permissions minimales. Un gestionnaire de secrets dédié permet de roter un service sans toucher aux autres.
Toolkit Cyberviseur. T-01-05 (Infisical, segmentation des secrets par service). Voir aussi P-01-08 — Secrets : empêcher la latéralisation.
9. DNS hijack et prise de sous-domaine
Mécanique. Deux variantes distinctes. Le DNS hijack : accès à ton registrar (souvent via phishing ou mot de passe réutilisé), les enregistrements DNS sont modifiés pour rediriger ton trafic vers un serveur contrôlé par l'attaquant — ton mail, ton site, tes webhooks Stripe partent ailleurs. Le sous-domaine dangling : un sous-domaine pointe vers un service cloud que tu n'utilises plus (ancienne instance Heroku, Netlify, Vercel), un attaquant réclame ce service et contrôle le sous-domaine.
Comment tu le vois. Alertes de ton hébergeur si tu en as. Ou tes clients qui te signalent que ton site affiche quelque chose d'étrange. Ou des bounces email inexpliqués.
Coût typique. Interception de tous tes emails entrants, interception des webhooks Stripe, défacement de site, perte de réputation domaine.
Contre-mesure de base. MFA sur le registrar. DNSSEC activé. Inventaire des sous-domaines actifs et suppression des DNS orphelins. Voir P-01-00 — Pourquoi ton setup décide de tout.
Toolkit Cyberviseur. T-01-02 (DNS hardened, DNSSEC, inventaire sous-domaines).
10. MITM sur wifi public
Mécanique. Sur un réseau wifi non chiffré ou mal configuré (café, coworking, hôtel), un attaquant sur le même réseau peut intercepter le trafic non chiffré, tenter des attaques de downgrade TLS, ou capturer des cookies de session non marqués Secure + HttpOnly. Si tu gères ton VPS ou ton panel Coolify depuis un café sans VPN, ta session admin peut être capturée.
Comment tu le vois. Tu ne le vois pas. La session est copiée silencieusement. Tu le découvres quand une action non initiée par toi est loguée dans ton panel.
Coût typique. Accès à la session admin active au moment de l'interception. Limité dans le temps si les tokens ont une expiration courte et si tu te déconnectes.
Contre-mesure de base. VPN systématique sur tout réseau non maîtrisé. Ne jamais gérer des accès admin depuis un wifi public sans tunnel chiffré.
Toolkit Cyberviseur. Hygiène générale phase 01 (usage d'un VPN personnel, configuration des cookies sécurisés dans T-01-03).
Famille D — Attaques sur ta capacité à opérer
Ces attaques ne veulent pas toujours tes données. Elles veulent que tu ne puisses plus travailler — pour te faire payer ou pour te nuire.
11. DDoS opportuniste
Mécanique. Des services de DDoS-as-a-service existent sur des marchés underground pour quelques euros par heure. Un concurrent malveillant, un ancien client mécontent ou un bot automatisé peut déclencher un flood de requêtes qui sature ton VPS. Un VPS entrée de gamme sans protection réseau ne tient pas longtemps face à un volume même modeste. L'objectif est de te rendre indisponible le temps d'une vente, d'un lancement ou d'un webinaire.
Comment tu le vois. Ton site ne répond plus. Tes alertes de monitoring (si tu en as) s'emballent. Ton hébergeur peut te contacter ou te couper pour protéger l'infrastructure mutualisée.
Coût typique. Indisponibilité pendant la durée de l'attaque. Si tu lançais quelque chose ce jour-là : ventes perdues, clients mécontents. Si tu n'as pas de page de status : impossibilité de communiquer pendant la crise.
Contre-mesure de base. Cloudflare en proxy devant ton VPS (absorbe une grande partie des DDoS courants sans surcoût). Monitoring avec alerte immédiate.
Toolkit Cyberviseur. T-01-01 (Cloudflare proxy configuré dès le setup initial) + T-01-02 (DNS via Cloudflare).
12. Défacement et rançon basse intensité
Mécanique. L'attaquant accède à ton panel (brute force, credential stuffing, CVE) et modifie ta page d'accueil pour afficher un message revendicatif ou une demande de rançon — souvent entre 300 € et 1 000 € en crypto. C'est l'équivalent du ransomware pour les petits créateurs : pas de chiffrement de données, juste une prise d'otage de ta présence en ligne. Le profil type : opportuniste, pas sophistiqué, cible les sites dont le panel est accessible sans MFA.
Comment tu le vois. Un client t'envoie un screenshot. Ou tu visites ton propre site et tu trouves le message. Sans monitoring de contenu, le délai de détection peut dépasser plusieurs heures.
Coût typique. Quelques heures de restauration si tu as un backup récent et testé. Plusieurs jours si tu n'en as pas. Perte de crédibilité auprès des clients qui ont vu le défacement.
Contre-mesure de base. MFA sur tous les panels. Backup quotidien avec restore drill testé. Monitoring de contenu (vérification automatique que ta home renvoie bien le bon contenu).
Toolkit Cyberviseur. T-01-01 (hardening panel, backup Coolify) + T-01-04 (rollback CI/CD en cas de compromission du déploiement).
En résumé
Ces 12 attaques couvrent la quasi-totalité des incidents que les créateurs en ligne subissent dans leurs premières années. Deux constats s'imposent :
Aucune n'est sophistiquée. Ce ne sont pas des attaques de nation-state. Ce sont des opportunités automatisées que des bots et des scripts exploitent en masse. Tu n'es pas visé — tu es dans le scan.
Toutes ont une contre-mesure de base accessible. Aucune des mesures listées ci-dessus ne nécessite une équipe de sécurité. Elles nécessitent un setup initial correct et une hygiène maintenue — c'est exactement ce que couvre le bundle B01.
Le tableau ci-dessous synthétise la couverture des toolkits :
| Attaque | Toolkit principal |
|---|---|
| Credential stuffing | T-01-03 (rate-limiting, Arcjet) |
| Brute force admin | T-01-01 (hardening VPS, exposition réseau) |
| Scan de surface | T-01-01 (fermeture ports, firewall) |
| Spam SMTP formulaire | T-01-03 + T-01-02 (DMARC) |
| Compromission paquet npm | T-01-04 (CI/CD, npm audit) |
| CVE non patché | T-01-04 + T-01-05 (rotation clés) |
| Phishing fournisseur | Hygiène générale (MFA, FIDO2) |
| Latéralisation .env | T-01-05 (Infisical, segmentation) |
| DNS hijack / sous-domaine | T-01-02 (DNS hardened, DNSSEC) |
| MITM wifi | T-01-03 (cookies sécurisés) + VPN |
| DDoS opportuniste | T-01-01 + T-01-02 (Cloudflare proxy) |
| Défacement / rançon | T-01-01 (backup, restore drill) |
Suite logique : P-01-04 — Méthodologie MITRE ATT&CK : lire une attaque comme un attaquant
Voir ce que contiennent les toolkits : T-01-02 DNS+TLS couvre DNS hijack, MITM TLS et l'expiration certificat. T-01-04 GitHub+Coolify couvre supply-chain CI/CD (Codecov, tj-actions) et le push direct prod. T-01-05 Secrets Infisical couvre la latéralisation .env et le scope minimal par identité.
Poser les fondations maintenant : Bundle B01 Foundation — 97 € — les 5 toolkits qui couvrent les contre-mesures de base de ces 12 attaques.
Priorité secrets : si une seule chose est à faire cette semaine, c'est sortir tes clés API d'un fichier .env partagé. T-01-05 — Secrets Infisical — 97 € te guide pas à pas.
Next.js sécurisé : T-01-03 — Boilerplate Next.js sécurisé — 47 € — rate-limiting, Arcjet Shield, cookies sécurisés, protection des routes admin.
Cet article est réservé aux membres du bundle B01. Il fait partie des 4 modules payants de la phase 01 du parcours Cyberviseur. Accéder au bundle B01 Foundation — 97 €