FlowcioF
Flowcio

Rapport de Sécurité & Qualité — Flowcio

Version bêta fermée - Mai 2026


Introduction

Dans le cadre de notre engagement envers la sécurité de la plateforme et la confiance de nos utilisateurs, nous avons conduit un audit de sécurité complet de l'application Flowcio, accompagné d'une mise en place de tests automatisés sur les composants critiques.


1. Audit de sécurité

Approche

L'audit a couvert l'ensemble des surfaces d'attaque accessibles à un utilisateur authentifié : gestion des projets et vidéos, système de Flowcio client, gestion des abonnements, et accès administration. Chaque finding identifié a été soumis à une vérification indépendante avant d'être retenu.

Résultat

Aucune vulnérabilité exploitable n'a été identifiée.

Tous les vecteurs d'attaque analysés accès non autorisé aux données d'un autre utilisateur, contournement des limites de plan, élévation de privilèges vers l'administration sont correctement protégés.

Points forts de l'implémentation

Authentification & Autorisation : Les guards d'authentification sont centralisés et appliqués de façon cohérente sur l'ensemble des routes API et actions serveur. L'accès administration est protégé à chaque niveau de l'application de manière indépendante.

Protection des contenus vidéo : Les vidéos sont protégées par deux mécanismes indépendants : une session sécurisée côté serveur et des tokens cryptographiques à durée de vie limitée. La compromission d'un seul mécanisme ne suffit pas à accéder au contenu.

Gestion des secrets : Les clés API ne sont jamais stockées en clair. Seul un hash cryptographique est conservé en base de données.

Intégrité des paiements : Les webhooks de paiement sont vérifiés par signature cryptographique, rendant impossible l'injection de faux événements de paiement.

Isolation des données : Chaque requête base de données est scopée à l'identifiant de l'utilisateur authentifié, empêchant tout accès aux données d'un autre compte.

Headers de sécurité : L'application utilise Nosecone (par Arcjet) pour la gestion des headers HTTP de sécurité, avec une protection Arcjet active sur les routes sensibles.


2. Tests automatisés

Pour garantir que ces mécanismes de sécurité ne régressent pas lors des évolutions futures, nous avons mis en place une suite de 55 tests unitaires couvrant les composants les plus critiques.

Ce qui est testé

Gestion des plans et quotas : Chaque règle métier est vérifiée : limite de projets par plan, limite de vidéos, quota de stockage, accès aux fonctionnalités payantes (white-label, multi-membres, statistiques, analyse IA). Les cas limites et les tentatives de dépassement sont explicitement couverts.

Guards d'authentification : Les réponses du serveur sont testées dans tous les scénarios : utilisateur non connecté, compte inexistant, compte suspendu, utilisateur standard tentant d'accéder à l'administration.

Logique de conformité : Le système de détection de dépassement de plan après un downgrade est testé, incluant le calcul des délais de grâce et la réinitialisation automatique lorsque l'utilisateur revient en conformité.

Résultats

55 tests — 100% de réussite
Durée d'exécution : ~1.2 secondes

3. Évaluation générale

Le code de la plateforme reflète une bonne maîtrise des pratiques de sécurité web : les patterns reconnus (prévention IDOR, protection timing attacks, défense en profondeur) sont appliqués correctement et de façon cohérente à travers toute la base de code.

Les tests mis en place constituent un filet de sécurité permanent : toute modification future qui briserait un mécanisme de protection sera immédiatement détectée.


Flowcio — Equipe sécurité & Qualité

security update

Publié par Hugo Damion