Modèle de sécurité

Nous défendons contre

• Fuite via upload. Architecture structurellement non-uploadante.
• Fuite via JS tiers. CSP avec script-src verrouillé.
• PDF malveillants contre PDF.js. Pinné ≥4.2.67 (CVE-2024-4367) avec hardening.
• Brute-force du Protect. AES-128 conservateur (faiblesses connues AES-256).
• XSS via nom de fichier. Toujours rendu comme texte.
• Pression mémoire. Workers pour fichiers >20 MB.

Nous ne défendons pas contre

• Extensions malveillantes — hors périmètre.
• Compromission OS.
• MitM avec CA coopérative.
• Side channels CPU.

• default-src 'self'
• script-src + 'unsafe-inline' (requis par Astro hydration ; coût Phase 1).
• connect-src sans endpoint document.
• frame-ancestors 'none'.
• upgrade-insecure-requests.

• Versions pinnées dans package.json.
• SLA CVE critique : 72 h.
• Tesseract self-hosted pour éviter dépendance CDN tierce.
• Vérifiez la promesse — DevTools → Network. Voir la recette 30 sec.

• Pureté du moteur — pas de DOM/fetch dans core/.
• Tests unitaires — 97% lignes Vitest.
• E2E — Playwright par PR.
• Accessibilité — axe-core sur 8 routes.
• Lighthouse CI — perf ≥95, a11y =100.