Due diligence d’un site internet : sécuriser une acquisition à l’ère des marketplaces
Due diligence d’un site internet : ce que révèle l’affaire Kris sur les marketplaces
L’affaire Kris, documentée en juillet 2024 par plusieurs équipes de recherche en sécurité WordPress (notamment Patchstack, Wordfence et WPScan, qui ont publié des avis détaillés sur les plugins concernés et les vecteurs d’attaque), avec ses 31 plugins infectés, a brutalement rappelé que la due diligence d’un site internet ne peut plus se limiter aux chiffres de trafic et de revenus. Un plugin racheté sur une marketplace comme Flippa, intégré à un site web d’entreprise, devient un maillon critique de l’infrastructure numérique et expose directement les clients à des risques de sécurité. Pour un futur acquéreur, chaque actif web en ligne doit désormais être traité comme une entreprise cible à part entière, avec un processus de diligence structuré, une analyse des risques numériques et une évaluation précise des coûts cachés (temps d’audit, refonte technique, assurance cyber).
Les rapports forensiques publiés par ces chercheurs (analyse des commits Git, comparaison des archives d’origine et des journaux de build, vérification des empreintes SHA-256 des versions propres et compromises) ont mis en évidence un scénario précis :
- Phase d’achat : un acquéreur inconnu rachète un portefeuille de plugins pour un montant à six chiffres sur une marketplace.
- Phase d’injection : plusieurs mois après la transaction, un backdoor de 191 lignes de code PHP est ajouté dans les dépôts, comme le montrent les diffs de code et les horodatages des commits.
- Phase d’activation : l’activation coordonnée sur plus de vingt mille sites, confirmée par les statistiques de téléchargements et d’installations actives publiées sur le répertoire officiel WordPress.org, déclenche la compromission en masse.
Cette chronologie illustre comment une seule opération d’acquisition peut contaminer des milliers d’entreprises et dégrader leur niveau de sécurité sans alerte préalable. Elle met aussi en lumière la faiblesse du processus de diligence entreprise sur certaines plateformes, où ni l’identité de la société cible ni la sécurité des données transmises ne sont réellement vérifiées avant ou après la vente, faute de procédures de contrôle technique et de conservation de preuves (hash des versions, journaux d’accès, captures d’écran horodatées, export des tickets de support).
Flippa ne procède ni à un audit informatique post transfert ni à une vérification systématique de l’identité de l’acquéreur, alors même que la valeur transigée y progresse fortement selon les rapports annuels de la plateforme. À l’inverse, des acteurs comme Acquire.com ou Empire Flippers commencent à intégrer davantage de contrôles (revue financière, validation de l’historique de revenus, filtrage basique des acheteurs), mais ces garde-fous restent centrés sur les métriques économiques et non sur les risques de sécurité. Pour un investisseur en actifs numériques, la due diligence d’un site internet doit donc dépasser les standards des marketplaces et intégrer un niveau de risque cyber, juridique et conformité équivalent à celui d’une opération de fusion acquisition classique, en s’appuyant sur des éléments vérifiables (rapports d’audit, journaux serveurs, captures de configuration, preuves de tests de restauration) plutôt que sur de simples déclarations du vendeur.
Processus de vente : cinq vérifications techniques indispensables avant toute acquisition
Pour sécuriser une acquisition de site, la première étape consiste à comparer le code reçu avec la version publique disponible sur les dépôts officiels ou sur les moteurs de recherche spécialisés. Cette diligence technique impose un diff systématique des fichiers (par exemple avec git diff --stat, diff -r source_originale/ source_transférée/ ou un comparateur visuel), une analyse des hooks WordPress, des tâches cron et des dépendances afin d’évaluer les risques numériques réels et de repérer tout code dormant susceptible de menacer la sécurité des données. Dans une logique de due diligence d’un site internet, cet audit doit être documenté, chiffré en coûts potentiels de remédiation (par exemple 2 à 5 jours de développement pour nettoyer un plugin critique) et intégré à l’évaluation globale de l’entreprise cible, en conservant les empreintes cryptographiques (hash SHA-256 des archives via sha256sum fichier.zip) et les rapports d’outils automatisés (scans YARA, analyse SAST, rapports d’antivirus serveur).
Pour rendre cette étape exploitable, il est utile de formaliser une mini-checklist d’audit de code :
- Comparer chaque version livrée avec la version publique connue (dépôt Git, archive WordPress.org).
- Scanner le code avec des règles YARA et un outil d’audit SAST adapté au langage utilisé.
- Revoir manuellement les fonctions sensibles (upload, exécution de commandes, appels réseau sortants).
- Archiver les rapports, les hashes et les captures d’écran horodatées dans le dossier de transaction.
Deuxième vérification clé, le contrôle des clés API, des webhooks tiers et des accès à distance permet de mesurer le niveau de sécurité opérationnelle du site web cédé. Un investisseur doit exiger les journaux d’accès historiques (logs HTTP, SSH, SFTP, API), analyser les connexions en ligne suspectes et évaluer les risques de compromission liés aux intégrations informatiques existantes, notamment lorsque plusieurs entreprises partagent les mêmes prestataires techniques. Concrètement, il s’agit par exemple de lister toutes les clés API actives, de vérifier leur périmètre, de révoquer celles qui ne sont plus nécessaires et de tester la désactivation contrôlée des webhooks sensibles. Cette approche transforme la simple inspection de code en véritable processus de diligence, où l’on cherche à évaluer les risques de fuite de données clients, de détournement de trafic internet ou de blocage d’activité, en s’appuyant sur des outils concrets (SIEM, analyseur de logs, scripts de corrélation, tableaux de bord de monitoring) et sur des procédures écrites de gestion des incidents.
Troisième volet, l’audit de l’infrastructure informatique et des sauvegardes doit vérifier la mise à niveau régulière des serveurs, des CMS et des extensions, ainsi que la capacité de restauration en cas d’incident. Un site dont le potentiel de croissance paraît élevé mais dont le niveau de risque cyber est mal maîtrisé peut générer des coûts cachés considérables en support, en assurance et en perte d’affaires. Dans une perspective de portefeuille, le futur acquéreur doit intégrer ces risques de sécurité dans ses modèles de valorisation, au même titre que les flux de trésorerie, afin de ne pas surpayer une société cible fragile, en tenant compte des investissements nécessaires (renforcement de l’hébergement, refonte des sauvegardes, durcissement des accès) et des délais de remédiation réalistes. À titre indicatif, un plan de sécurisation minimal (audit, correction des failles critiques, mise en place de sauvegardes testées) représente souvent entre 5 % et 15 % du prix d’acquisition pour un site de taille moyenne.
Aspects légaux et conformité : clauses contractuelles, KYC et lutte contre les abus
Sur le plan contractuel, une due diligence d’un site internet rigoureuse impose d’exiger trois clauses structurantes lors de la vente. La première est une garantie explicite d’absence de code malveillant, couvrant l’ensemble des composants web, des scripts en ligne et des dépendances, avec une responsabilité solidaire du vendeur en cas de vulnérabilité découverte dans les six mois. À titre d’exemple, une clause peut être rédigée ainsi : « Le Vendeur déclare et garantit que, à la date de transfert, le Site et l’ensemble de ses composants logiciels ne contiennent aucun code malveillant, porte dérobée ou mécanisme de contrôle à distance non documenté, et s’engage à indemniser l’Acquéreur de tout dommage direct résultant de la découverte, dans un délai de six (6) mois suivant la cession, d’un tel code imputable au Vendeur. » La deuxième clause doit encadrer l’engagement de non modification post audit, afin d’éviter qu’une entreprise ou une société cible ne réintroduise un risque après la phase d’évaluation et d’audit technique, par exemple en prévoyant que toute mise à jour majeure entre l’audit et la signature doit être notifiée et, le cas échéant, réévaluée techniquement.
La troisième clause concerne la conformité réglementaire et la lutte contre le blanchiment de capitaux et le financement du terrorisme, domaines où les listes de sanctions et la loi Sapin jouent un rôle central. Un acquéreur sérieux doit mener une diligence entreprise complète sur les bénéficiaires effectifs, vérifier les relations d’affaires sensibles et documenter le niveau de risque associé à chaque transaction numérique. Cette approche rapproche la vente d’un site des standards bancaires, en intégrant la vérification d’identité, le contrôle des flux financiers et l’analyse des risques de sécurité liés aux paiements en ligne, avec conservation des preuves (copies de pièces d’identité, justificatifs de domiciliation, captures des écrans de filtrage des sanctions, procès-verbaux internes de validation) dans le dossier de transaction.
Enfin, le réflexe KYC côté acquéreur devient un filtre de qualité indispensable pour tout processus de vente ou de fusion acquisition impliquant des actifs numériques. Demander l’identité réelle du vendeur, croiser ces informations avec les listes de sanctions et évaluer les relations d’affaires passées permet de réduire fortement le risque juridique et réputationnel. Pour un propriétaire de site qui prépare une cession, se mettre dès maintenant au niveau de ces exigences renforce la crédibilité de l’entreprise, rassure les clients et augmente la valeur perçue par les investisseurs professionnels, tout en facilitant la production ultérieure de preuves en cas de contrôle réglementaire ou de litige, notamment en cas d’enquête sur l’origine des fonds ou sur l’usage détourné de l’actif numérique.
Données clés à retenir sur la due diligence d’un site internet
- Les opérations d’acquisition de sites et de plugins WordPress sur les grandes marketplaces ont connu une croissance à deux chiffres, ce qui augmente mécaniquement l’exposition aux risques numériques pour les entreprises acheteuses, comme l’illustrent les volumes de transactions publiés par les plateformes spécialisées et les rapports annuels des principaux intermédiaires. Dans ce contexte, la mise en place d’une checklist de due diligence technique et juridique devient un prérequis pour tout investisseur sérieux.
- Un backdoor inséré dans un plugin ou dans un composant web peut rester dormant plusieurs mois avant activation, ce qui rend indispensable un audit de code approfondi lors de chaque processus de diligence, appuyé sur des signatures YARA, des scans automatisés et une revue manuelle ciblée des fonctions sensibles (téléchargement de fichiers, exécution de commandes, exfiltration de données).
- La majorité des transactions de sites en ligne ne fait pas encore l’objet d’une vérification d’identité systématique des vendeurs, alors que cette pratique réduit significativement le niveau de risque juridique et réputationnel, comme le montrent les recommandations des autorités de supervision et les retours d’expérience des acteurs régulés. Un processus KYC basique (pièce d’identité, justificatif de domicile, vérification de cohérence) peut être mis en œuvre en quelques heures.
- Les coûts de remédiation après un incident de sécurité lié à un site web racheté peuvent dépasser largement la valeur initiale de l’acquisition, surtout lorsque des données clients sont compromises, en raison des frais d’expertise forensique, de notification, de défense juridique et de perte de chiffre d’affaires. Une estimation prudente consiste à prévoir, dès la négociation, un budget de remédiation et de mise à niveau de l’ordre de 10 % à 30 % du prix d’achat pour les actifs les plus exposés.
Questions fréquentes sur la due diligence d’un site internet
Pourquoi la due diligence d’un site internet doit elle aller au delà des chiffres de trafic ?
Parce qu’un site web est un actif informatique complet, qui combine du code, des données clients, des intégrations tierces et des obligations légales, la due diligence doit couvrir la sécurité, la conformité et les risques opérationnels. Se limiter aux revenus et au trafic masque les vulnérabilités techniques et juridiques qui peuvent détruire la valeur après l’acquisition. Une analyse globale permet d’aligner le prix payé sur le niveau de risque réel, en intégrant les coûts de mise en conformité, de sécurisation et de migration éventuelle, ainsi que les investissements nécessaires pour atteindre un niveau de résilience acceptable.
Quelles sont les priorités d’un audit technique avant de racheter un site web ?
Les priorités sont la revue du code, la vérification des accès serveurs, l’audit des dépendances et des plugins, ainsi que le contrôle des clés API et des webhooks. Cet audit doit aussi inclure l’examen des sauvegardes, des procédures de mise à niveau et du niveau de sécurité des données clients. L’objectif est d’identifier les risques critiques avant la signature et de les intégrer dans la négociation, en s’appuyant sur des outils concrets (analyse de configuration, tests de restauration, scans de vulnérabilités) et sur des preuves documentées, par exemple sous forme de rapport d’audit annexé au contrat de cession.
Comment intégrer les obligations de conformité dans un processus de diligence entreprise ?
Il faut vérifier l’identité des vendeurs, analyser les bénéficiaires effectifs et croiser ces informations avec les listes de sanctions internationales. Le respect de la loi Sapin et des règles de lutte contre le blanchiment de capitaux et le financement du terrorisme doit être documenté dans le dossier de transaction. Cette démarche protège l’acquéreur contre les risques juridiques et les atteintes à sa réputation, tout en facilitant la réponse aux demandes des autorités de contrôle en cas d’enquête ultérieure, grâce à un dossier de conformité complet et horodaté.
Quelles clauses contractuelles protègent le mieux un futur acquéreur de site ?
Les clauses les plus protectrices sont la garantie d’absence de code malveillant, l’engagement de non modification après l’audit et la responsabilité solidaire du vendeur sur les vulnérabilités découvertes dans une période définie. Il est aussi pertinent de prévoir des mécanismes d’ajustement de prix en cas de découverte de risques majeurs. Ces clauses incitent le vendeur à une transparence maximale sur l’état réel du site et facilitent la mise en œuvre de recours en cas de manquement, en prévoyant par exemple un séquestre partiel du prix pendant quelques mois.
En quoi le KYC du vendeur améliore t il la sécurité d’une acquisition numérique ?
Le KYC du vendeur permet de s’assurer que la personne ou l’entreprise qui cède le site n’est pas liée à des activités illicites ou à des entités sanctionnées. Cette vérification réduit le risque de voir l’actif numérique impliqué dans des enquêtes pour blanchiment ou financement du terrorisme. Elle renforce aussi la confiance des partenaires et des clients dans la solidité des relations d’affaires de l’acquéreur, en montrant que le processus de due diligence intègre réellement les enjeux de conformité et de gestion des risques.
Sources de référence
- Agence nationale de la sécurité des systèmes d’information (ANSSI)
- Autorité des marchés financiers (AMF)
- Commission nationale de l’informatique et des libertés (CNIL)
