Sécurité
La sécurité est un pilier d’ExtentAPI. Cette page synthétise nos pratiques et explique comment nous remonter une vulnérabilité.
Hardening
Section intitulée « Hardening »- TLS 1.3 obligatoire, HSTS activé,
Strict-Transport-Securitymax-age = 2 ans. - Anti-SSRF : toute URL externe (jobs, webhooks, replays) passe par une validation DNS + plage IP publique, doublée d’un re-check côté agent au moment du fetch.
- Pas de redirect blanc depuis l’orchestrator.
Authentification
Section intitulée « Authentification »- Clés API stockées hashées bcrypt (jamais en clair).
- Cache de validation avec TTL court pour révocation rapide.
- Magic-link et MFA TOTP côté IAM.
- Sessions cookie HttpOnly, Secure, SameSite=Lax.
Chiffrement au repos
Section intitulée « Chiffrement au repos »- AES-256-GCM sur les données sensibles : credentials proxy, storage states, secrets webhook.
- Clé de chiffrement séparée par environnement, rotation supportée.
Audit et observabilité
Section intitulée « Audit et observabilité »- Audit log 90 jours sur toute action administrative.
- Logs structurés (Pino) avec redaction PII automatique sur les headers, query strings, et bodies sensibles.
- Metrics Prometheus sur la santé des services et sur les anomalies d’authentification.
Multi-tenant strict
Section intitulée « Multi-tenant strict »- Aucune ressource n’est partagée entre tenants par défaut.
- Filtrage SSE côté serveur par tenant.
- Erreurs cross-tenant volontairement opaques (
404, pas403) pour ne pas fuiter l’existence d’autres tenants.
Divulgation responsable
Section intitulée « Divulgation responsable »Si vous identifiez une vulnérabilité dans ExtentAPI, merci de :
- Nous contacter par email à l’adresse sécurité publiée dans le
security.txtà la racine du domaine. - Inclure : description, étapes de reproduction, impact estimé.
- Ne pas exploiter la faille au-delà du strict nécessaire à la preuve de concept.
Nous nous engageons à :
- Accuser réception sous 48 h ouvrées.
- Vous tenir informé·e de la progression du triage et du fix.
- Vous mentionner dans nos remerciements publics si vous le souhaitez.
Pas de bug bounty monétaire en V1 — programme à l’étude.
Incidents
Section intitulée « Incidents »En cas d’incident de sécurité avéré impactant nos clients :
- Notification dans les 24 h ouvrées suivant la confirmation.
- Post-mortem public publié sous 7 jours, anonymisé si nécessaire.
- CNIL notifiée sous 72 h si données personnelles impactées.