INVESTISSEMENT SUIVI CONSEIL
Experts-Comptables des Investisseurs en Immobilier · 12 000 clients nationaux
Actifs Publicsisconseil.fr · paiement.isconseil.fr · webhook.isconseil.fr · OVH
Prestataire ITOVH (cluster002) · Bouygues Telecom
Statut ITDMARC ABSENT · SPF PERMISSIF
isconseil.fr
Logiciel : Virtuaware · Mailjet
⬤ CONFIDENTIEL
Alexis LECLERCQ
Analyste Cyber Sécurité Indépendant
Nice, PACA - 2026

STATUT DE SÉCURITÉ GLOBAL

EXPOSITION CONFIRMÉE // ACTION REQUISE

Domaine sans protection messagerie, trois portails clients accessibles. 12 000 investisseurs immobiliers exposés à l'usurpation d'identité.

6.5
CVSS MAX
03
POINTS D'ENTRÉE
CRITIQUE
IMPACT MÉTIER
Panneau 1 — Cartographie de l'Exposition
HôteInfrastructureStack TechniqueStatut
www.isconseil.frOVH FranceApache · WordPressACTIF
Messagerie (M365)Microsoft 365Exchange OnlinePOINT CRITIQUE
paiement.isconseil.frBouygues TelecomF5 Nginx · PHPEXPOSÉ
webhook.isconseil.frBouygues TelecomF5 Nginx · PHPEXPOSÉ
Topologie Réseau et Points de Rupture
isconseil.fr DMARC SPF PAY HOOK
Panneau 2 — Catalogue des Vulnérabilités (OSINT)
VULN-001 // FRAUDE DOCUMENTAIRE — 12 000 CLIENTS EXPOSÉS VIA 3 PORTAILS6.5 MOYEN

L'absence de DMARC sur isconseil.fr, combinée à un SPF permissif (~all), permet à un attaquant d'envoyer des emails frauduleux en se faisant passer pour le cabinet. Avec trois portails de connexion clients actifs — espace paiement, espace webhook et espace personnel sur le site — un faux email de réinitialisation de mot de passe envoyé au nom d'IS Conseil est indétectable par les filtres de messagerie. Sur un portefeuille de 12 000 clients investisseurs immobiliers, l'exposition est nationale.

MITRE T1566 · T1534
VULN-002 // PORTAIL DE PAIEMENT — ACCÈS SANS RESTRICTION GÉOGRAPHIQUE5.3 MOYEN

Le portail de paiement du cabinet (paiement.isconseil.fr) est accessible depuis n'importe quel navigateur dans le monde, sans restriction d'accès géographique ni authentification renforcée visible. Hébergé sur une infrastructure Bouygues Telecom distincte du site principal, il constitue une surface d'attaque indépendante combinée à l'absence de DMARC sur le domaine.

MITRE T1133 · T1078
VULN-003 // CHIFFREMENT — CONFIGURATION NON DURCIE3.5 FAIBLE

Deux suites de chiffrement obsolètes restent actives et le mécanisme HSTS est absent sur le serveur principal. Configuration par défaut non optimisée pour un cabinet gérant les données financières de 12 000 investisseurs immobiliers.

MITRE T1600
Points Positifs
Grade A SSL Labs — Chiffrement principal solide
TLS 1.3 activé — Protocole moderne
Microsoft 365 — Messagerie Professionnelle
OVH Anycast DNS — Haute Disponibilité
Analyse SSL
GRADE A
TLS 1.3 / 1.2ACTIF
Suites Faibles02 DÉTECTÉES
HSTSABSENT
Analyse Messagerie
SPF : PERMISSIF (~all)
DMARC : ABSENT

3 services email sans protection DMARC (M365, Mailjet, Virtuaware). Portails paiement.isconseil.fr et webhook.isconseil.fr utilisables comme prétexte d'usurpation sur 12 000 clients.

Matrice de Risque (Impact / Probabilité)
T.F
F
M
E
C
C
6.5
E
M
5.3
F
3.5
Périmètre de l'Analyse
Inclus dans cette analyse :
  • • Exposition DNS et messagerie publique
  • • Configuration SSL/TLS et certificats
  • • Cartographie des actifs publics exposés
Disponible dans le rapport complet :
  • • Vecteurs d'exposition complémentaires
  • • Recherche sur sources de compromission
  • • Plan correctif priorisé avec procédures
Plan d'Atténuation Prioritaire
PRIORITÉ CRITIQUE
Correction prioritaire de la politique de sécurité messagerie et sécurisation des accès portails clients. Détails et procédures dans le rapport complet.
PRIORITÉ SECONDAIRE
Durcissement des protocoles de chiffrement et activation HSTS. Détails et procédures dans le rapport complet.

Ce rapport constitue une photographie de l'exposition numérique à un instant T. Les infrastructures web étant dynamiques, certaines informations peuvent varier selon les cycles de mise à jour des bases de données de reconnaissance. Ce diagnostic ne se substitue pas à un audit d'intrusion complet mais identifie les vecteurs d'attaque visibles et exploitables.

Ce rapport couvre l'analyse de surface. Les vecteurs d'exposition complémentaires et le plan correctif complet sont disponibles après validation du mandat d'analyse.