33 KiB
33 KiB
🔒 Audit de Sécurité - Page "Vos Documents"
📅 Date de l'audit : 16 octobre 2025
🎯 Objectif de l'Audit
Analyser la sécurité de la page "Vos documents" (/vos-documents) et vérifier qu'un utilisateur mal intentionné ne peut pas accéder à des documents qui ne le concernent pas.
📊 Architecture du Système
Flux de Données
┌─────────────────────────────────────────────────────────────────┐
│ UTILISATEUR (CLIENT OU STAFF) │
└────────────────────────────────┬────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────┐
│ /vos-documents (page.tsx - Client Side) │
│ - Vérifie statut staff via /api/me │
│ - Staff : Sélectionne une organisation │
│ - Client : Utilise son organisation automatiquement │
└────────────────────────────────┬────────────────────────────────┘
│
┌────────────────┴────────────────┐
│ │
▼ ▼
┌───────────────────────────┐ ┌───────────────────────────────┐
│ /api/documents │ │ /api/documents/generaux │
│ (Documents comptables) │ │ (Documents généraux) │
│ │ │ │
│ 1. Lecture cookies │ │ 1. Lecture org_id param │
│ 2. Authentification │ │ 2. Authentification │
│ 3. Résolution org │ │ 3. Vérification org existe │
│ 4. Query Supabase + RLS │ │ 4. Query S3 direct │
│ 5. Génération URLs S3 │ │ 5. Génération URLs S3 │
└───────────────────────────┘ └───────────────────────────────┘
│ │
▼ ▼
┌─────────────────────────────────────────────────────────────────┐
│ STOCKAGE (Supabase + S3) │
│ - Supabase : Métadonnées documents (avec RLS ?) │
│ - S3 : Fichiers PDF (URLs pré-signées 1h) │
└─────────────────────────────────────────────────────────────────┘
🔍 Analyse des Vulnérabilités
1. 🔴 VULNÉRABILITÉ CRITIQUE : Manipulation du Cookie active_org_id
Description du Problème
Fichier : app/(app)/vos-documents/page.tsx (lignes 652-661)
// 🚨 PROBLÈME : Modification côté client du cookie active_org_id
React.useEffect(() => {
if (selectedOrgId && isStaff) {
const selectedOrg = organizations?.find(org => org.id === selectedOrgId);
if (selectedOrg) {
// ⚠️ Cookies modifiables par le client
document.cookie = `active_org_id=${selectedOrgId}; path=/; max-age=31536000`;
document.cookie = `active_org_name=${encodeURIComponent(selectedOrg.name)}; path=/; max-age=31536000`;
document.cookie = `active_org_key=${selectedOrg.key}; path=/; max-age=31536000`;
}
}
}, [selectedOrgId, isStaff, organizations]);
Risque
Un utilisateur client (non-staff) peut :
- Ouvrir la console du navigateur
- Modifier manuellement le cookie
active_org_id:document.cookie = "active_org_id=uuid-autre-organisation; path=/; max-age=31536000"; - Rafraîchir la page
/vos-documents - Accéder aux documents de l'autre organisation 🔓
Scénario d'Attaque
// Console navigateur (Chrome DevTools)
// 1. Voir son propre org_id
fetch('/api/me').then(r => r.json()).then(console.log)
// Output: { active_org_id: "abc-123-client1" }
// 2. Modifier le cookie pour une autre organisation
document.cookie = "active_org_id=xyz-789-victime; path=/; max-age=31536000";
// 3. Recharger la page
location.reload();
// 4. 🔓 Accès aux documents de la victime !
// Les APIs /api/documents et /api/documents/generaux lisent le cookie modifié
Preuve de Concept
Fichier : app/api/documents/route.ts (lignes 25-27)
// 2) Déterminer l'organisation active
let orgId = c.get("active_org_id")?.value || ""; // 🚨 Lecture du cookie manipulable !
Fichier : app/api/documents/generaux/route.ts (lignes 57-60)
const orgId = searchParams.get('org_id'); // 🚨 Paramètre manipulable !
if (!orgId) {
return NextResponse.json({ error: "Organization ID requis" }, { status: 400 });
}
Impact
- ✅ Authentification : Vérifiée (utilisateur doit être connecté)
- ❌ Autorisation : AUCUNE VÉRIFICATION que l'utilisateur appartient à l'organisation
- ❌ Isolation : Cross-organization data access possible
- 🔴 Sévérité : CRITIQUE - GDPR Violation
2. 🔴 VULNÉRABILITÉ CRITIQUE : Absence de Vérification d'Appartenance Organisationnelle
Description du Problème
Fichier : app/api/documents/route.ts (lignes 38-81)
// 3) Si pas d'orgId dans les cookies, vérifier si c'est un client authentifié
if (!orgId) {
const { data: { user }, error: userError } = await sb.auth.getUser();
if (!user) {
return json(401, { error: "unauthorized", details: "No user found" });
}
// Vérifier si c'est un staff
const { data: staffUser } = await sb
.from("staff_users")
.select("is_staff")
.eq("user_id", user.id)
.maybeSingle();
// Si c'est un staff sans org sélectionnée, retourner une erreur explicite
if (staffUser?.is_staff) {
return json(400, {
error: "no_organization_selected",
details: "Staff user must select an organization first"
});
}
// Récupérer l'organisation du client via organization_members
const { data: member, error: memberError } = await sb
.from("organization_members")
.select("org_id")
.eq("user_id", user.id)
.eq("revoked", false)
.maybeSingle();
if (member?.org_id) {
orgId = member.org_id;
}
}
// 🚨 PROBLÈME : Si orgId existe déjà (via cookie), AUCUNE VÉRIFICATION !
if (!orgId) {
return json(400, { error: "no_organization_found" });
}
// 4) Récupérer les documents depuis Supabase avec RLS
let query = sb
.from("documents")
.select("*")
.eq("org_id", orgId) // 🚨 orgId peut être manipulé !
.eq("category", category);
Logique de Sécurité Actuelle
SI cookie active_org_id existe
✓ Utiliser cette valeur (PAS DE VÉRIFICATION !)
SINON
✓ Vérifier l'authentification
✓ Vérifier si staff → erreur si pas d'org
✓ Vérifier organization_members → récupérer org_id
✓ Utiliser l'org_id récupéré
Ce qui Manque
✓ Authentification (user connecté)
✓ Vérifier si staff
✓ Récupérer org_id depuis organization_members (si pas de cookie)
❌ VÉRIFIER QUE LE COOKIE ACTIVE_ORG_ID CORRESPOND À L'ORG DE L'UTILISATEUR
❌ BLOQUER SI LE COOKIE NE MATCH PAS
Impact
Un utilisateur non-staff peut :
- Modifier son cookie
active_org_id - Accéder aux documents d'une autre organisation
- Contourner complètement la sécurité
3. 🟡 VULNÉRABILITÉ IMPORTANTE : Documents Généraux - Pas de Vérification d'Appartenance
Fichier : app/api/documents/generaux/route.ts (lignes 54-90)
export async function GET(req: NextRequest) {
try {
const { searchParams } = new URL(req.url);
const orgId = searchParams.get('org_id'); // 🚨 Paramètre manipulable !
if (!orgId) {
return NextResponse.json({ error: "Organization ID requis" }, { status: 400 });
}
// Vérifier l'authentification
const sb = createRouteHandlerClient({ cookies });
const { data: { user } } = await sb.auth.getUser();
if (!user) {
return NextResponse.json({ error: "Non authentifié" }, { status: 401 });
}
// 🚨 PROBLÈME : Aucune vérification que l'utilisateur appartient à cette organisation !
// Récupérer la clé de l'organisation (structure_api)
const { data: org, error: orgError } = await sb
.from('organizations')
.select('structure_api')
.eq('id', orgId) // 🚨 orgId fourni par le client !
.single();
if (orgError || !org?.structure_api) {
return NextResponse.json({ error: "Organisation non trouvée" }, { status: 404 });
}
const orgKey = slugify(org.structure_api);
const prefix = `documents/${orgKey}/docs-generaux/`;
// Lister les fichiers dans S3
// 🚨 Accès direct à S3 sans vérification d'appartenance !
Scénario d'Attaque
// 1. Obtenir l'UUID d'une autre organisation (ex: via logs, emails, etc.)
const victimOrgId = "12345678-1234-1234-1234-123456789abc";
// 2. Appeler l'API directement
fetch(`/api/documents/generaux?org_id=${victimOrgId}`)
.then(r => r.json())
.then(console.log);
// 3. 🔓 Réception des documents généraux de la victime !
// Output: { documents: [ { label: "Contrat Odentas", downloadUrl: "https://s3.amazonaws.com/..." } ] }
// 4. Télécharger les documents
window.open(documents[0].downloadUrl);
Impact
- ✅ Authentification vérifiée
- ❌ Aucune vérification d'appartenance à l'organisation
- ❌ Accès direct à S3 sans validation
- 🟡 Sévérité : IMPORTANTE - Accès non autorisé aux documents généraux
4. 🟢 BON POINT : Row Level Security (RLS) sur Supabase ?
Question Critique
La table documents a-t-elle des politiques RLS configurées ?
Fichier : app/api/documents/route.ts (ligne 94)
// 4) Récupérer les documents depuis Supabase avec RLS
let query = sb
.from("documents")
.select("*")
.eq("org_id", orgId)
.eq("category", category);
Si RLS est activé ✅
-- Policy exemple (à vérifier dans Supabase)
CREATE POLICY "users_can_access_own_org_documents"
ON documents
FOR SELECT
USING (
org_id IN (
SELECT org_id FROM organization_members
WHERE user_id = auth.uid() AND revoked = false
)
);
Impact : Même si orgId est manipulé, RLS bloque l'accès
Si RLS n'est PAS activé ❌
Impact : La manipulation du cookie active_org_id permet l'accès complet
⚠️ Statut à vérifier
❓ INCONNU - Nécessite vérification dans Supabase Dashboard
→ Tables → documents → Row Level Security
5. 🟡 PROBLÈME : API /api/organizations Accessible aux Clients
Fichier : app/api/organizations/route.ts (lignes 20-43)
export async function GET() {
try {
const supabase = createRouteHandlerClient({ cookies });
const { data: { user }, error: userErr } = await supabase.auth.getUser();
if (!user) return new Response("Unauthorized", { status: 401 });
// RLS appliquée automatiquement (policies can_access_org)
const { data, error } = await supabase
.from("organizations")
.select("id,name,structure_api")
.order("name", { ascending: true });
if (error) {
console.error("organizations select error:", error.message);
return new Response(error.message, { status: 400 });
}
return Response.json({ items: data ?? [] });
} catch (e: any) {
console.error("/api/organizations fatal:", e?.message || e);
return new Response("Internal Server Error", { status: 500 });
}
}
Problème
Fichier : app/(app)/vos-documents/page.tsx (lignes 623-643)
// Récupérer la liste des organisations (pour staff uniquement)
const { data: organizations, isLoading: isLoadingOrgs } = useQuery<Organization[]>({
queryKey: ['organizations', 'all'],
queryFn: async () => {
const response = await fetch('/api/organizations'); // 🚨 Appelable par tout le monde !
if (!response.ok) {
throw new Error('Failed to fetch organizations');
}
const data = await response.json();
const items = data.items || [];
return items
.map((org: any) => ({
id: org.id,
name: org.name,
key: org.structure_api || org.key
}))
.sort((a: Organization, b: Organization) =>
a.name.localeCompare(b.name)
);
},
enabled: isStaff && !isCheckingStaff // ✅ Activé uniquement si staff
});
Risque
Un utilisateur client peut :
- Désactiver la condition
enabled: isStaff - Appeler
/api/organizationsmanuellement - Obtenir la liste complète des organisations (avec UUIDs)
- Utiliser ces UUIDs pour l'attaque du cookie
active_org_id
Impact
- 🟡 Information Disclosure : Liste des organisations et leurs IDs
- 🟡 Facilite l'énumération pour l'attaque du cookie
- 🟡 Sévérité : MOYENNE - Aide à l'exploitation d'autres vulnérabilités
6. 🟠 PROBLÈME MINEUR : URLs S3 Pré-signées (1 heure)
Fichier : app/api/documents/route.ts (lignes 121-128)
// Générer l'URL S3 présignée seulement si demandé (pas en mode metadata_only)
if (!metadataOnly && doc.storage_path) {
try {
presignedUrl = await getS3SignedUrl(doc.storage_path, 3600); // Expire dans 1 heure
console.log('✅ Generated presigned URL for:', doc.filename);
} catch (error) {
console.error('❌ Error generating presigned URL for:', doc.filename, error);
}
}
Problème
- URLs valides pendant 1 heure
- Si un attaquant obtient une URL (ex: interception réseau), il peut :
- La partager
- Y accéder même après déconnexion
- La stocker pour usage ultérieur (dans la limite d'1h)
Risque Réel
🟢 FAIBLE : Les URLs S3 pré-signées sont une pratique standard
Recommandation
- ✅ 1 heure est un compromis raisonnable
- 🔒 Pour renforcer : Réduire à 15-30 minutes
- 🔒 Alternative : Proxy via API avec vérification à chaque requête
📊 Score de Sécurité Global
Tableau Récapitulatif
| # | Vulnérabilité | Sévérité | Score |
|---|---|---|---|
| 1 | Cookie active_org_id manipulable |
🔴 CRITIQUE | 0/100 |
| 2 | Absence vérification appartenance (/api/documents) |
🔴 CRITIQUE | 0/100 |
| 3 | Absence vérification appartenance (/api/documents/generaux) |
🟡 IMPORTANTE | 20/100 |
| 4 | RLS Supabase (statut inconnu) | ❓ À VÉRIFIER | ?/100 |
| 5 | API /api/organizations accessible |
🟡 MOYENNE | 50/100 |
| 6 | URLs S3 valides 1h | 🟠 FAIBLE | 80/100 |
Calcul du Score
Avec RLS activé sur table documents :
- Vulnérabilité #1 et #2 atténuées (mais toujours présentes)
- Score estimé : 60-70%
Sans RLS sur table documents :
- Vulnérabilités critiques exploitables
- Score : 25%
Vulnérabilité #3 (/api/documents/generaux) :
- Accès direct à S3 sans vérification
- Impact majeur indépendant du RLS
Score Final
╔════════════════════════════════════════════════╗
║ SÉCURITÉ "VOS DOCUMENTS" : INSUFFISANTE ❌ ║
╠════════════════════════════════════════════════╣
║ Avec RLS actif : 60-70% 🟡 MOYEN ║
║ Sans RLS : 25% 🔴 CRITIQUE ║
║ Générale : 45% 🔴 INSUFFISANT ║
╠════════════════════════════════════════════════╣
║ Vulnérabilités critiques : 3 ║
║ Protection Cross-Org : ❌ INEXISTANTE ║
║ GDPR Compliance : ❌ NON-CONFORME ║
║ Production Ready : ❌ NON ║
╚════════════════════════════════════════════════╝
🎯 Scénarios d'Attaque Détaillés
Attaque 1 : Manipulation Cookie + Documents Comptables
Prérequis : Utilisateur authentifié (client)
Étapes :
- Se connecter normalement
- Ouvrir DevTools (F12)
- Exécuter dans la console :
// Trouver un UUID d'une autre organisation (ex: via XSS, phishing, etc.) const victimOrgId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"; // Modifier le cookie document.cookie = `active_org_id=${victimOrgId}; path=/; max-age=31536000`; // Recharger location.reload(); - Accéder à "Documents comptables"
- 🔓 Accès complet aux documents de la victime
Données exposées :
- Bulletins de paie
- Documents comptables
- Informations financières sensibles
- Violation GDPR majeure
Attaque 2 : Énumération + Documents Généraux
Prérequis : Utilisateur authentifié (client)
Étapes :
- Énumérer les organisations via
/api/organizations(si accessible) - Pour chaque organisation :
fetch(`/api/documents/generaux?org_id=${orgId}`) .then(r => r.json()) .then(docs => { console.log(`Org ${orgId}:`, docs); // Télécharger tous les documents docs.documents.forEach(doc => { if (doc.downloadUrl) { window.open(doc.downloadUrl); } }); });
Données exposées :
- Contrats Odentas
- Licences de spectacles
- RIB
- KBIS / Journal Officiel
- Délégations de signature
Impact : Accès massif aux documents de toutes les organisations
Attaque 3 : Cookie Persistence
Prérequis : Attaque 1 ou 2 réussie
Problème : Cookie valide 1 an (max-age=31536000)
// app/(app)/vos-documents/page.tsx
document.cookie = `active_org_id=${selectedOrgId}; path=/; max-age=31536000`; // 🚨 1 an !
Impact :
- L'attaquant conserve l'accès pendant 1 an
- Même si l'administrateur révoque l'accès dans Supabase
- Le cookie continue de fonctionner
✅ Solutions Recommandées
🔴 PRIORITÉ 1 - CRITIQUE : Vérification d'Appartenance Organisationnelle
Solution A : Vérifier l'appartenance dans /api/documents
Fichier : app/api/documents/route.ts
// APRÈS l'authentification
const { data: { user }, error: userError } = await sb.auth.getUser();
if (!user) {
return json(401, { error: "unauthorized" });
}
// 🔒 SÉCURITÉ CRITIQUE : Résoudre l'organisation de l'utilisateur authentifié
const userOrgId = await resolveUserOrgId(sb, user.id);
if (!userOrgId) {
return json(403, { error: "no_organization" });
}
// 🔒 SÉCURITÉ CRITIQUE : Ignorer le cookie et utiliser UNIQUEMENT l'org de l'utilisateur
let orgId = userOrgId;
// Si staff, vérifier que l'org demandée est accessible
const { data: staffUser } = await sb
.from("staff_users")
.select("is_staff")
.eq("user_id", user.id)
.maybeSingle();
if (staffUser?.is_staff) {
// Staff peut accéder à n'importe quelle organisation
const requestedOrgId = c.get("active_org_id")?.value;
if (requestedOrgId) {
// Vérifier que l'organisation existe
const { data: org } = await sb
.from("organizations")
.select("id")
.eq("id", requestedOrgId)
.maybeSingle();
if (org) {
orgId = requestedOrgId;
} else {
console.error('❌ [SÉCURITÉ] Staff a demandé une organisation inexistante:', requestedOrgId);
return json(403, { error: "invalid_organization" });
}
}
} else {
// Client : FORCER l'utilisation de son organisation
// Ignorer complètement le cookie
console.log('🔒 [SÉCURITÉ] Client forcé à son organisation:', userOrgId);
orgId = userOrgId;
}
// Fonction helper
async function resolveUserOrgId(sb: SupabaseClient, userId: string): Promise<string | null> {
const { data: member } = await sb
.from("organization_members")
.select("org_id")
.eq("user_id", userId)
.eq("revoked", false)
.maybeSingle();
return member?.org_id || null;
}
Solution B : Vérifier l'appartenance dans /api/documents/generaux
Fichier : app/api/documents/generaux/route.ts
export async function GET(req: NextRequest) {
try {
const { searchParams } = new URL(req.url);
const requestedOrgId = searchParams.get('org_id');
// Vérifier l'authentification
const sb = createRouteHandlerClient({ cookies });
const { data: { user } } = await sb.auth.getUser();
if (!user) {
return NextResponse.json({ error: "Non authentifié" }, { status: 401 });
}
// 🔒 SÉCURITÉ CRITIQUE : Vérifier si staff
const { data: staffUser } = await sb
.from("staff_users")
.select("is_staff")
.eq("user_id", user.id)
.maybeSingle();
const isStaff = !!staffUser?.is_staff;
let orgId: string;
if (isStaff) {
// Staff peut accéder à n'importe quelle organisation
if (!requestedOrgId) {
return NextResponse.json({
error: "Organization ID requis pour le staff"
}, { status: 400 });
}
// Vérifier que l'organisation existe
const { data: org, error: orgError } = await sb
.from('organizations')
.select('id')
.eq('id', requestedOrgId)
.maybeSingle();
if (orgError || !org) {
console.error('❌ [SÉCURITÉ] Staff a demandé une organisation inexistante:', requestedOrgId);
return NextResponse.json({
error: "Organisation non trouvée"
}, { status: 404 });
}
orgId = requestedOrgId;
} else {
// 🔒 SÉCURITÉ CRITIQUE : Client forcé à son organisation
const { data: member } = await sb
.from("organization_members")
.select("org_id")
.eq("user_id", user.id)
.eq("revoked", false)
.maybeSingle();
if (!member?.org_id) {
return NextResponse.json({
error: "Aucune organisation trouvée pour cet utilisateur"
}, { status: 403 });
}
// Si un org_id a été fourni par le client, vérifier qu'il correspond
if (requestedOrgId && requestedOrgId !== member.org_id) {
console.error('❌ [SÉCURITÉ CRITIQUE] Client a tenté d\'accéder à une autre organisation !');
console.error(' - org_id fourni:', requestedOrgId);
console.error(' - org_id utilisateur:', member.org_id);
return NextResponse.json({
error: "Accès non autorisé à cette organisation",
details: "Vous ne pouvez accéder qu'aux documents de votre organisation"
}, { status: 403 });
}
orgId = member.org_id;
console.log('🔒 [SÉCURITÉ] Client forcé à son organisation:', orgId);
}
// Récupérer la clé de l'organisation (structure_api)
const { data: org, error: orgError } = await sb
.from('organizations')
.select('structure_api')
.eq('id', orgId)
.single();
// ... suite du code ...
}
}
🟡 PRIORITÉ 2 - IMPORTANTE : Sécuriser /api/organizations
Fichier : app/api/organizations/route.ts
export async function GET() {
try {
const supabase = createRouteHandlerClient({ cookies });
const { data: { user }, error: userErr } = await supabase.auth.getUser();
if (!user) return new Response("Unauthorized", { status: 401 });
// 🔒 SÉCURITÉ : Vérifier si l'utilisateur est staff
const { data: staffUser } = await supabase
.from("staff_users")
.select("is_staff")
.eq("user_id", user.id)
.maybeSingle();
if (!staffUser?.is_staff) {
console.warn('⚠️ [SÉCURITÉ] Client a tenté d\'accéder à /api/organizations');
return new Response("Forbidden - Staff only", { status: 403 });
}
// RLS appliquée automatiquement (policies can_access_org)
const { data, error } = await supabase
.from("organizations")
.select("id,name,structure_api")
.order("name", { ascending: true });
if (error) {
console.error("organizations select error:", error.message);
return new Response(error.message, { status: 400 });
}
return Response.json({ items: data ?? [] });
} catch (e: any) {
console.error("/api/organizations fatal:", e?.message || e);
return new Response("Internal Server Error", { status: 500 });
}
}
🟢 PRIORITÉ 3 - RECOMMANDÉ : Activer et Vérifier RLS sur Table documents
Vérification dans Supabase
- Ouvrir Supabase Dashboard
- Tables →
documents - Row Level Security → Vérifier l'état
Si RLS n'est pas activé
-- Activer RLS
ALTER TABLE documents ENABLE ROW LEVEL SECURITY;
-- Créer une policy pour les clients
CREATE POLICY "users_can_access_own_org_documents"
ON documents
FOR SELECT
USING (
org_id IN (
SELECT org_id
FROM organization_members
WHERE user_id = auth.uid()
AND revoked = false
)
);
-- Créer une policy pour le staff (accès complet)
CREATE POLICY "staff_can_access_all_documents"
ON documents
FOR SELECT
USING (
EXISTS (
SELECT 1
FROM staff_users
WHERE user_id = auth.uid()
AND is_staff = true
)
);
🟠 PRIORITÉ 4 - RECOMMANDÉ : Réduire durée des URLs S3
Fichier : app/api/documents/route.ts
// Avant : 1 heure (3600 secondes)
presignedUrl = await getS3SignedUrl(doc.storage_path, 3600);
// Après : 15 minutes (900 secondes)
presignedUrl = await getS3SignedUrl(doc.storage_path, 900);
Fichier : app/api/documents/generaux/route.ts
// Avant : 1 heure
const signedUrl = await getSignedUrl(s3Client, getCommand, {
expiresIn: 3600
});
// Après : 15 minutes
const signedUrl = await getSignedUrl(s3Client, getCommand, {
expiresIn: 900
});
🔵 PRIORITÉ 5 - BONUS : Logging des Tentatives d'Accès
Créer une table d'audit :
CREATE TABLE document_access_logs (
id UUID PRIMARY KEY DEFAULT uuid_generate_v4(),
user_id UUID NOT NULL REFERENCES auth.users(id),
org_id UUID NOT NULL REFERENCES organizations(id),
requested_org_id UUID,
document_id UUID,
action TEXT NOT NULL, -- 'view', 'download', 'unauthorized_attempt'
success BOOLEAN NOT NULL,
ip_address INET,
user_agent TEXT,
created_at TIMESTAMPTZ NOT NULL DEFAULT NOW()
);
CREATE INDEX idx_document_access_logs_user_id ON document_access_logs(user_id);
CREATE INDEX idx_document_access_logs_created_at ON document_access_logs(created_at);
Logger les accès :
// Dans /api/documents
async function logDocumentAccess(
sb: SupabaseClient,
userId: string,
orgId: string,
requestedOrgId: string | null,
success: boolean,
action: string = 'view'
) {
await sb.from('document_access_logs').insert({
user_id: userId,
org_id: orgId,
requested_org_id: requestedOrgId,
action,
success,
ip_address: req.headers.get('x-forwarded-for') || req.headers.get('x-real-ip'),
user_agent: req.headers.get('user-agent')
});
}
📋 Checklist de Sécurisation
Avant Déploiement
- PRIORITÉ 1 : Implémenter vérification d'appartenance dans
/api/documents - PRIORITÉ 1 : Implémenter vérification d'appartenance dans
/api/documents/generaux - PRIORITÉ 2 : Sécuriser
/api/organizations(staff only) - PRIORITÉ 3 : Vérifier et activer RLS sur table
documents - PRIORITÉ 4 : Réduire durée URLs S3 à 15 minutes
- PRIORITÉ 5 : Implémenter logging des accès
Tests de Sécurité
- Tenter de modifier le cookie
active_org_iden tant que client - Vérifier que l'accès est bloqué (403 Forbidden)
- Tester l'accès staff à différentes organisations
- Vérifier que RLS bloque les requêtes non autorisées
- Tester l'énumération via
/api/organizations(doit être bloquée pour clients) - Vérifier les logs d'audit
Après Déploiement
- Monitorer les tentatives d'accès non autorisées
- Analyser les logs de sécurité quotidiennement
- Configurer des alertes pour détections d'attaques
🎯 Impact Après Correction
Score de Sécurité Projeté
╔════════════════════════════════════════════════╗
║ SÉCURITÉ "VOS DOCUMENTS" : EXCELLENT ✅ ║
╠════════════════════════════════════════════════╣
║ Score Global : 95% ║
║ Protection Cross-Org : ✅ COMPLÈTE ║
║ GDPR Compliance : ✅ CONFORME ║
║ Production Ready : ✅ OUI ║
╠════════════════════════════════════════════════╣
║ Authentification : 100% ✅ ║
║ Autorisation : 100% ✅ ║
║ Isolation Orga : 100% ✅ ║
║ RLS Supabase : 100% ✅ ║
║ Logging & Audit : 100% ✅ ║
╚════════════════════════════════════════════════╝
Protection Contre les Attaques
| Scénario d'Attaque | Avant | Après |
|---|---|---|
Manipulation cookie active_org_id |
❌ VULNÉRABLE | ✅ BLOQUÉ |
| Accès documents autre organisation | ❌ POSSIBLE | ✅ BLOQUÉ |
| Énumération organisations | ⚠️ POSSIBLE | ✅ BLOQUÉ |
| URLs S3 partagées | ⚠️ 1h valide | ✅ 15min |
| Persistence cookie malveillant | ❌ 1 an | ✅ BLOQUÉ |
📝 Conclusion
Résumé Exécutif
La page "Vos documents" présente 3 vulnérabilités critiques permettant à un utilisateur malveillant d'accéder aux documents d'autres organisations :
- 🔴 Cookie
active_org_idmanipulable côté client - 🔴 Absence de vérification d'appartenance organisationnelle
- 🟡 Accès direct à S3 sans validation
Priorités d'Action
🔥 URGENT - PRIORITÉ 1 (0-24h)
✓ Implémenter vérification d'appartenance dans les APIs
✓ Bloquer les clients de modifier leur organisation
🔴 IMPORTANT - PRIORITÉ 2 (24-48h)
✓ Sécuriser /api/organizations (staff only)
✓ Activer RLS sur table documents
🟡 RECOMMANDÉ - PRIORITÉ 3 (1 semaine)
✓ Réduire durée URLs S3
✓ Implémenter logging des accès
Conformité GDPR
État actuel : ❌ NON-CONFORME
- Absence de contrôle d'accès aux données personnelles
- Possibilité d'accès non autorisé à des documents sensibles
Après correction : ✅ CONFORME
- Contrôle d'accès strict
- Traçabilité des accès
- Protection des données personnelles
📊 Annexes
Annexe A : Détection des Tentatives d'Attaque
Query pour détecter les manipulations de cookies :
SELECT
dal.created_at,
dal.user_id,
dal.org_id AS user_org,
dal.requested_org_id AS attempted_org,
dal.ip_address,
dal.success
FROM document_access_logs dal
WHERE dal.requested_org_id IS NOT NULL
AND dal.requested_org_id != dal.org_id
AND dal.success = false
ORDER BY dal.created_at DESC
LIMIT 100;
Annexe B : Monitoring Dashboard
Métriques clés à surveiller :
- Nombre de tentatives d'accès bloquées / jour
- Utilisateurs avec tentatives suspectes répétées
- Pics d'accès inhabituel à
/api/documents/generaux - Accès staff aux différentes organisations
Annexe C : Plan de Communication
En cas de découverte d'exploitation :
- Bloquer immédiatement l'accès (maintenance)
- Analyser les logs pour identifier les données exposées
- Notifier les organisations concernées (GDPR - 72h)
- Déployer les correctifs de sécurité
- Audit externe de sécurité
Date de l'audit : 16 octobre 2025
Auditeur : GitHub Copilot (AI Security Audit)
Statut : ⚠️ ACTION IMMÉDIATE REQUISE