Service
Nous testons votre dApp, API, app mobile et infrastructure comme le ferait un attaquant motivé, et nous documentons tout pour que votre équipe puisse corriger et vos auditeurs vérifier.
Ce que vous obtenez
Une liste reproductible de findings exploitables, classés par impact, avec les preuves que tout reviewer peut vérifier.
Périmètre
Front-end dApps, interfaces de trading custody, apps wallet, admin panels. Nous couvrons le baseline OWASP Top 10 et les problématiques spécifiques Web3, abus de wallet-connect, signature phishing, spoofing de transaction.
REST, GraphQL, WebSocket, gRPC. Authentification, autorisation (IDOR, isolation multi-tenant), rate limiting, validation d'entrées, gestion des secrets. Nous testons la surface que vos auditeurs ne voient pas.
Mauvaises configurations AWS/GCP, dérive de scope IAM, durcissement des validateurs et signers, secrets dans les pipelines CI/CD, exposition des nodes RPC. La couche on-chain n'est qu'aussi sûre que la couche off-chain en dessous.
Optionnel. Nous testons comment votre équipe réagit à du phishing ciblé, des DM malicieux dans vos canaux opérationnels, et de faux liens de mint, les vecteurs d'entrée qui contournent entièrement la technologie.
Les prestataires de services sur crypto-actifs (CASP / PSAN) sous MiCA, les entités financières sous DORA articles 24 à 27, et les sociétés enregistrées PSAN en France doivent réaliser des tests d'intrusion périodiques sur leurs systèmes d'information. Nous livrons des pentests cadrés sur ces attentes réglementaires : méthodologie documentée, findings reproductibles, executive summary, et une lettre d'attestation que votre superviseur (AMF, ACPR, ou autorité nationale) peut exploiter.
Livrables
Calendrier. 1 à 4 semaines selon le périmètre. Re-test typiquement 3 à 5 jours après le déploiement de vos correctifs.
FAQ
Par défaut grey box, nous recevons des identifiants et un minimum de documentation, puis nous explorons. Le black box gaspille du temps sur de la reconnaissance ; le full white box rate la perspective de l'attaquant. Le grey box vous donne à la fois la profondeur et le réalisme.
Oui. Notre méthodologie est alignée avec l'article 25 de DORA (évaluations de vulnérabilités) et l'article 26 (TLPT, threat-led penetration testing pour les entités significatives), avec les attentes MiCA sur la sécurité ICT des CASP, et avec les exigences AMF / ANSSI applicables aux sociétés enregistrées PSAN en France. Le livrable inclut la lettre d'attestation et la documentation méthodologique attendues par les superviseurs.
DORA attend au minimum une évaluation de vulnérabilités annuelle sur les systèmes pertinents, et un TLPT tous les trois ans pour les entités significatives. MiCA attend des CASP qu'ils testent après chaque changement matériel. En pratique, un pentest full-scope annuel plus des re-tests ciblés après chaque release majeure est la cadence que nous recommandons.
À lire
Les wallet drainers ont évolué du simple phishing de seed phrase à des écosystèmes drainer-as-a-service sophistiqués. Les patterns 2026 (phishing d'approval gasless, abus EIP-712, pièges de délégation ERC-7702) et comment se défendre.
Lire l'article →
Ce que MiCA, DORA articles 24 à 27 et le régime PSAN local exigent vraiment en matière de tests d'intrusion, et comment satisfaire votre superviseur sans surpayer.
Lire l'article →
L'article 26 de DORA impose des threat-led penetration tests aux entités financières significatives, y compris les gros CASP. Voici ce que recouvre vraiment un TLPT, en quoi il diffère d'un pentest standard, et à quoi s'attendre dans une mission alignée TIBER-EU.
Lire l'article →
