La securite n'est pas une option

Toutes les donnees sensibles sont chiffrees au repos et en transit. Les cles SSH, cles API et configurations exportees utilisent un chiffrement de niveau militaire.

• ● AES-256-GCM pour le chiffrement des cles SSH, cles API et exports de configuration
• ● bcrypt 12 rounds pour le hachage des mots de passe
• ● PBKDF2 100 000 iterations pour la derivation des cles d'export
• ● Cles en memoire uniquement : jamais stockees en clair sur disque, dechiffrees uniquement a l'utilisation

Le systeme d'authentification est concu pour resister aux attaques les plus courantes, avec plusieurs couches de protection complementaires.

• ● JWT httpOnly : les tokens sont stockes en cookies httpOnly, inaccessibles depuis JavaScript
• ● Refresh token rotation : l'ancien token est revoque a chaque renouvellement
• ● Protection CSRF : double-submit cookie avec header X-CSRF-Token
• ● Rate limiting : 1 000 req/15min global, 50/15min sur l'auth, 30 conn/min WebSocket
• ● Anti timing-attack : comparaison dummy hash pour les utilisateurs inexistants

Ajoutez une couche de protection supplementaire a votre compte avec l'authentification a deux facteurs. Meme si votre mot de passe est compromis, votre compte reste protege.

• ● TOTP standard : protocole ouvert compatible avec toutes les applications d'authentification
• ● Compatible Google Authenticator, Authy, 1Password et toute application TOTP
• ● Codes de secours chiffres : 10 codes a usage unique, stockes chiffres en base de donnees
• ● Protection contre le vol de mot de passe : un mot de passe seul ne suffit plus pour acceder au compte

L'infrastructure est durcie a chaque niveau : du reverse proxy jusqu'a la validation des entrees utilisateur.

• ● HTTPS Let's Encrypt : chiffrement TLS obligatoire sur toutes les connexions via Traefik
• ● Helmet + CSP : headers de securite stricts (Content Security Policy, X-Frame-Options, HSTS)
• ● Shell escape : toutes les commandes SSH sont echappees pour prevenir l'injection de commandes
• ● Path validation : protection contre le path traversal et les null bytes
• ● Container validation : verification stricte des noms de containers Docker
• ● Variables d'env masquees : les valeurs sensibles sont masquees dans les details Docker

Chaque action effectuee sur IliaCloud est enregistree dans un journal d'audit detaille, pour la conformite et l'investigation.

• ● Chaque action loguee : toutes les operations mutantes (POST, PATCH, DELETE) sont enregistrees automatiquement
• ● 16 categories : auth, server, docker, ssh, chat, backup, ssl, uptime, webhook, file, config, export, import, status-page, settings, audit
• ● IP + timestamp : chaque entree inclut l'adresse IP, l'horodatage et les details de la requete (donnees sensibles masquees)
• ● Export CSV : exportez les logs pour analyse externe et rapports de conformite

La qualite et la securite du code sont validees en continu par des tests automatises et des outils d'analyse statique.

• ● 1 093 tests automatises (796 backend + 297 frontend, Vitest + Playwright)
• ● SonarQube : 0 bugs, 0 vulnerabilites, 0 code smells critiques
• ● OWASP Top 10 couvert : injection, XSS, CSRF, broken auth, path traversal, et plus