10 nouveaux tests d'audit : sécurité, vie privée, SEO & accessibilité
Orilyt passe de 47 à 57 tests — avec un focus particulier sur Google Fonts et la vie privée.
- Orilyt exécute désormais 57 tests automatisés — 10 de plus, couvrant des angles morts critiques
- Le chargement de Google Fonts est désormais signalé pour conformité RGPD et impact sur les performances
- Les nouveaux tests couvrent 4 catégories : sécurité, SEO, juridique/vie privée et expérience utilisateur
Au lancement d'Orilyt, le moteur d'audit exécutait 47 tests. C'était déjà complet — performance, sécurité, SEO, UX et conformité légale étaient couverts.
Mais le web évolue vite. Nouvelles réglementations sur la vie privée, nouveaux vecteurs d'attaque, nouvelles bonnes pratiques. Rester à 47 signifiait laisser des lacunes que les clients remarqueraient.
Aujourd'hui, Orilyt exécute 57 tests. Voici les 10 nouvelles vérifications que nous avons ajoutées — et pourquoi chacune compte.
Les 10 nouveaux tests en un coup d'œil
Vérifie les fichiers accessibles publiquement qui ne devraient jamais être exposés : .env, .git/config, sauvegardes wp-config, dumps de base de données, logs de debug. Un seul fichier exposé peut fuiter des identifiants, des clés API ou des mots de passe de base de données.
Vérifie que les cookies sont définis avec les flags Secure, HttpOnly et SameSite. Des flags manquants exposent les utilisateurs au détournement de session, au vol via XSS et au cross-site request forgery.
Détecte les balises canonical manquantes ou mal configurées qui poussent les moteurs de recherche à indexer plusieurs versions d'une même page. Le contenu dupliqué dilue les signaux de classement et gaspille le budget de crawl.
Scanne les trackers tiers qui se chargent avant le consentement : Google Analytics, Facebook Pixel, scripts publicitaires. Charger des trackers sans consentement viole le RGPD et peut entraîner des amendes allant jusqu'à 4 % du chiffre d'affaires annuel.
Vérifie que les requêtes HTTP sont correctement redirigées vers HTTPS. Une redirection manquante signifie que certains visiteurs accèdent au site via une connexion non chiffrée, exposant les données en transit.
Détecte si le site charge des polices depuis le CDN de Google (fonts.googleapis.com), ce qui transfère les adresses IP des visiteurs à Google sans consentement. Mesure également l'impact sur les performances du chargement distant des polices.
Vérifie la conformité WCAG essentielle : attribut lang sur HTML, liens de navigation rapide, labels de formulaires, landmarks ARIA et indicateurs de focus. Ce sont les exigences minimales pour les utilisateurs en situation de handicap.
Valide qu'un sitemap XML existe et est référencé dans robots.txt, que robots.txt ne bloque pas accidentellement des pages importantes, et que le sitemap contient des URL valides.
Vérifie si les scripts et feuilles de style externes utilisent des attributs integrity. Sans SRI, un CDN compromis pourrait injecter du code malveillant dans votre site sans détection.
Détecte si un bandeau de consentement aux cookies ou une CMP (Consent Management Platform) est implémentée. Sans elle, tout site utilisant des cookies ou trackers est non conforme au RGPD, à ePrivacy et aux réglementations similaires.
Focus : pourquoi Google Fonts est un problème de vie privée et de performance
Parmi les 10 nouveaux tests, le #53 mérite une attention particulière. Google Fonts est utilisé sur plus de 50 millions de sites web. La plupart des développeurs le considèrent comme inoffensif — juste un lien de feuille de style. Mais il y a deux problèmes sérieux.
Le problème de vie privée
Quand un visiteur charge une page qui utilise Google Fonts via le CDN, son navigateur envoie une requête à fonts.googleapis.com. Cette requête inclut son adresse IP, son user agent, le referrer et d'autres métadonnées.
Depuis, des milliers de plaintes similaires ont été déposées à travers l'Europe. La décision est claire : charger toute ressource depuis les serveurs de Google sans consentement constitue un transfert de données vers un tiers.
Le problème de performance
Le chargement distant de polices ajoute des résolutions DNS, des handshakes TLS et des requêtes bloquant le rendu. Sur les connexions mobiles, cela peut retarder le First Contentful Paint de 200 à 500 ms.
L'hébergement local des polices élimine ces requêtes externes et vous permet de contrôler la mise en cache, le subsetting et la stratégie font-display.
Comment corriger
La solution est simple : téléchargez les fichiers de police, hébergez-les sur votre propre serveur et référencez-les avec des déclarations @font-face locales. Des outils comme google-webfonts-helper rendent cela facile.
Le test #53 d'Orilyt détecte l'utilisation du CDN Google Fonts et le signale avec un avertissement de vie privée et une recommandation de performance.
Ce que cela signifie pour les freelances et les agences
- Si vous auditez des sites clients, ces 10 nouveaux tests vous donnent plus d'arguments. Les problèmes de vie privée comme Google Fonts ou les bandeaux de consentement manquants sont des constats concrets et actionnables que les clients comprennent immédiatement.
- Les failles de sécurité comme les fichiers .env exposés ou les flags de cookies manquants ne sont pas théoriques — ce sont de vraies vulnérabilités exploitables aujourd'hui.
- Et les problèmes SEO comme le contenu dupliqué ou les sitemaps mal configurés impactent directement le classement dans les résultats de recherche — ce qui intéresse chaque client.
- Avec 57 tests, un audit Orilyt couvre désormais plus de terrain que la plupart des checklists manuelles. Cela signifie moins de temps à auditer, plus de temps à conseiller.
De 47 à 57 : chaque test a une raison d'être
Nous n'avons pas ajouté ces tests pour le nombre. Chacun répond à une lacune réelle identifiée en auditant des centaines de sites web.
La vie privée n'est plus optionnelle. Les bases de la sécurité sont encore négligées. Les fondamentaux SEO sont encore cassés sur des sites en production. Et l'accessibilité reste une réflexion après coup.
Ces 10 tests vous aident à détecter ce que les autres manquent — et à le présenter de manière actionnable pour vos clients.