Principe général
SHS fonctionne comme un outil d’analyse externe. Lorsqu’une analyse est lancée, la plateforme interroge le nom de domaine indiqué depuis l’extérieur, comme le ferait un navigateur ou un service distant.
SHS récupère les réponses HTTP accessibles publiquement, puis examine les en-têtes liés à la sécurité. L’analyse ne nécessite pas d’accès au serveur, au code source ou à l’infrastructure du site testé.
Lancement d’une analyse
Pour lancer une analyse, vous saisissez un nom de domaine complet, par exemple
www.exemple.fr. SHS traite le domaine indiqué tel qu’il est fourni.
Un domaine racine, un sous-domaine et une version www
sont considérés comme des cibles distinctes. Lorsqu’une analyse est acceptée, elle est ajoutée
à une file d’attente puis traitée automatiquement.
File d’attente et traitement
Les demandes d’analyse sont placées dans une file d’attente afin d’être traitées de manière ordonnée. Un worker dédié récupère ensuite les demandes en attente et exécute les vérifications.
Selon la disponibilité du site cible et la charge de la file d’attente, le résultat peut apparaître en quelques secondes. Si le site ne répond pas ou bloque l’analyse, le résultat peut être incomplet ou indisponible.
Ce que SHS vérifie
SHS analyse principalement les en-têtes HTTP de sécurité retournés par le site testé. Ces en-têtes permettent aux navigateurs d’appliquer certaines règles de protection autour de HTTPS, du chargement des ressources, de l’intégration dans une iframe, du type de contenu, du référent ou encore de certaines fonctionnalités du navigateur.
La plateforme vérifie la présence, l’absence ou la configuration apparente de plusieurs mécanismes de sécurité. Chaque point contrôlé contribue à produire une lecture structurée du résultat.
Résultats et score
Une fois l’analyse terminée, SHS présente un résumé lisible du résultat : note, score, nombre de tests réussis et principaux éléments détectés.
Le score reflète uniquement les éléments vérifiés par SHS à partir des réponses HTTP publiques. Il doit être lu comme un indicateur de configuration, et non comme une garantie de sécurité globale.
Historique et évolution
Les analyses sont conservées afin de suivre l’évolution d’un site dans le temps. SHS permet ainsi d’observer les changements de score et de comparer les résultats successifs.
Cette approche permet d’identifier les améliorations apportées, mais aussi les dégradations éventuelles lorsqu’une configuration change entre deux analyses.
Accès aux détails techniques
Certaines informations sont visibles publiquement afin de fournir une lecture générale du résultat. D’autres éléments plus techniques sont réservés aux utilisateurs autorisés.
Cette distinction permet de rendre l’outil utile au plus grand nombre, tout en limitant l’exposition de détails plus sensibles. Les propriétaires de site validés, les analystes et les administrateurs SHS peuvent accéder à davantage d’informations lorsque leurs droits le permettent.
Validation d’un site
Pour accéder à certains détails techniques ou fonctionnalités liées à un domaine, une preuve de contrôle peut être demandée.
Cette validation repose sur l’ajout d’un enregistrement DNS TXT spécifique dans la zone du domaine concerné. Une fois l’enregistrement détecté, SHS peut confirmer que vous contrôlez le domaine et vous attribuer les droits associés sur ce site.
Limites de l’analyse
SHS analyse des éléments visibles depuis l’extérieur. Il ne réalise pas de test d’intrusion, ne vérifie pas le code source et ne teste pas l’ensemble des vulnérabilités applicatives.
L’outil doit être utilisé comme un point d’entrée : il permet de repérer rapidement certains signaux de configuration, de prioriser des corrections et de suivre leur évolution dans le temps.