Sécurité

Posture de sécurité, recommandations cryptographiques et politique de divulgation responsable.

Principes

  • Minimisation des données : nous ne collectons que ce qui est nécessaire.
  • Chiffrement en transit (HTTPS/TLS) via l’infrastructure d’hébergement.
  • Durcissement des dépendances et mises à jour régulières (CI/CD, audits).
  • Journalisation de sécurité et suivi des incidents.

Bonnes pratiques cryptographiques

  • Éviter MD5 et SHA-1 en production (vulnérables aux collisions).
  • Algorithmes de hachage recommandés : SHA-256/SHA-512 (intégrité), SHA-3 pour besoins avancés.
  • Mots de passe : privilégier Argon2id (ou bcrypt/scrypt) avec paramètres adaptés (mémoire/itérations).
  • Authentification de message : HMAC (avec clés robustes).
  • Jetons : JWT avec algorithmes modernes (HS256/RS256/ES256) et durée de vie limitée.

Architecture & hébergement

  • Hébergement sur Vercel (réseau distribué, TLS par défaut, isolation des déploiements).
  • Séparation des environnements et revue de code avant mise en production.
  • Gestion des secrets via variables d’environnement (jamais en clair dans le dépôt).

Gestion des vulnérabilités

Nous appliquons une politique de divulgation responsable. Si vous pensez avoir identifié une faille :

  1. Ne pas publier publiquement les détails techniques avant correctif.
  2. Nous contacter à security@hashbj.vercel.app (ou contact@hashbj.vercel.app).
  3. Fournir une description claire, étapes de reproduction et impact potentiel.

Nous accusons réception sous 7 jours ouvrés et priorisons les correctifs selon l’impact.

Données et confidentialité

Par conception, la plateforme limite les traitements de données. Consultez la page Confidentialité pour les détails.

Mises à jour

Cette page évolue avec l’état de l’art et les mises à jour de la plateforme. Dernière mise à jour : 11/01/2025.