Les tests menés par Synacktiv pour Noesya ont permis de constater que l’application Osuny possède, après correction des vulnérabilités identifiées lors de la première phase d’audit, un bon niveau de sécurité. En effet, le scénario de compromission de compte identifié lors des tests initiaux n’est plus exploitable en l’état. L’ensemble des vulnérabilités a été corrigé.
Les experts Synacktiv ont par ailleurs constaté de bonnes pratiques de sécurité sur l'ensemble de l'infrastructure. L'authentification est correctement implémentée et impose l'utilisation d'un double facteur, ce qui réduit énormément les risques de compromission de comptes. Les consultants n'ont pas identifié de vulnérabilité permettant à un attaquant anonyme d'accéder à des données ou d'effectuer des actions sur l'application. La gestion des droits et des autorisations est également de bonne qualité et permet une isolation efficace entre les différentes instances Osuny et entre les différents rôles au sein d'une instance. Enfin, la grande majorité des entrées utilisateur est correctement traitée ce qui prévient les attaques classiques par injection.
Cet audit a été réalisé en boîte blanche. L'accès au code source, à la documentation, ainsi que plusieurs comptes avec des niveaux de droits différents ont été fournis aux consultants Synacktiv. Synacktiv a identifié 5 vulnérabilités lors des premiers tests : toutes ont été corrigées.