Sécurité

TLS 1.3 : Toutes les communications entre votre navigateur et nos serveurs sont chiffrées via le protocole TLS (Transport Layer Security) version 1.3, le standard le plus récent.

HSTS (HTTP Strict Transport Security) : Notre site force l'utilisation du protocole HTTPS et est configuré avec HSTS pour empêcher les attaques de type "man-in-the-middle" et le downgrade vers HTTP non sécurisé.

Certificat SSL/TLS : Fourni et géré par Cloudflare avec renouvellement automatique.

NextAuth.js v5 : Notre système d'authentification repose sur NextAuth.js, une bibliothèque sécurisée et maintenue activement par la communauté.

OAuth 2.0 : Nous supportons l'authentification via Google et GitHub, ce qui signifie que vos mots de passe ne transitent jamais par nos serveurs.

Magic Links (Resend) : L'authentification par email utilise des liens à usage unique avec expiration courte (10 minutes). Les tokens ne sont jamais loggés en clair.

Protection CSRF : Tous les formulaires et requêtes sensibles sont protégés contre les attaques Cross-Site Request Forgery via des tokens CSRF automatiques.

Sessions JWT sécurisées : Les sessions utilisent des JSON Web Tokens (JWT) chiffrés et signés, stockés dans des cookies HTTPOnly et Secure.

Base de données PostgreSQL chiffrée : Vos données sont stockées dans une base PostgreSQL hébergée par Neon avec chiffrement au repos (AES-256).

Mots de passe (si applicable) : Si vous utilisez l'authentification par email/mot de passe (actuellement non activée), les mots de passe seraient hashés avec bcrypt ou Argon2.

Secrets et variables d'environnement : Toutes les clés API, secrets OAuth et autres credentials sont stockés dans des variables d'environnement chiffrées sur Cloudflare, jamais en clair dans le code source.

Nous appliquons les headers de sécurité suivants sur toutes les pages :

• Strict-Transport-Security: max-age=63072000; includeSubDomains
• X-Content-Type-Options: nosniff
• Referrer-Policy: strict-origin-when-cross-origin
• X-Frame-Options: DENY (via CSP frame-ancestors)
• Content-Security-Policy: Politique stricte limitant les sources autorisées
• Permissions-Policy: Désactivation des APIs sensibles non utilisées

XSS (Cross-Site Scripting) : React/Next.js échappe automatiquement toutes les sorties. Nous n'utilisons pas dangerouslySetInnerHTML sans sanitisation préalable.

SQL Injection : Nous utilisons Drizzle ORM avec des requêtes paramétrées, ce qui empêche toute injection SQL.

CSRF : Protection automatique via NextAuth.js et SameSite cookies.

Rate Limiting : Cloudflare Rate Limiting appliqué sur les endpoints sensibles (auth, API).

DDoS Protection : Cloudflare assure la protection contre les attaques DDoS au niveau du réseau et de la couche application.

Stripe : Tous les paiements sont traités par Stripe, certifié PCI-DSS Level 1 (le plus haut niveau de certification pour la sécurité des paiements).

Vos informations bancaires ne transitent jamais par nos serveurs et sont directement envoyées à Stripe de manière chiffrée.

Webhooks signés : Les événements Stripe (paiements, annulations) sont validés via signature cryptographique avant traitement.

Dépendances à jour : Nous utilisons Dependabot et npm audit pour détecter et corriger les vulnérabilités connues dans nos dépendances.

Cloudflare WAF : Le Web Application Firewall de Cloudflare protège contre les exploits OWASP Top 10.

Si vous découvrez une vulnérabilité de sécurité dans notre application, nous vous encourageons à nous la signaler de manière responsable.

ℹ️ Scope : alertedvf.fr et sous-domaines (dashboard.alertedvf.fr, etc.)
ℹ️ Hors scope : Attaques DDoS, social engineering, phishing

RGPD : Conformité au Règlement Général sur la Protection des Données. Consultez notre politique de confidentialité.

OWASP Top 10 2021 : Nos pratiques de développement suivent les recommandations de l'OWASP pour prévenir les vulnérabilités les plus critiques.