Sécurité

Toutes les communications sont chiffrées via HTTPS/TLS avec un certificat valide et HSTS activé.

Le header Strict-Transport-Security force les navigateurs à utiliser exclusivement le protocole sécurisé.

Les mots de passe sont hachés avec bcrypt (algorithme adaptatif). Même en cas de compromission de la base de données, les mots de passe restent protégés.

Exigences minimales : 8 caractères, au moins une majuscule et un chiffre.

Les sessions utilisent des tokens JWT signés (HMAC-SHA256) avec une durée de vie de 7 jours.

Rate limiting : les tentatives de connexion, d'inscription et de contact sont limitées par IP pour prévenir les attaques par force brute.

CORS restreint : seules les requêtes provenant de xvd.ch sont autorisées.

Content Security Policy (CSP) : empêche l'exécution de scripts non autorisés et les attaques XSS.

X-Frame-Options: DENY : protège contre le clickjacking.

La base de données est stockée hors du répertoire web, inaccessible depuis un navigateur.

Les clés de signature JWT sont générées automatiquement (256 bits) et stockées dans un fichier protégé hors du web root.

Chaque utilisateur ne peut accéder qu'à ses propres données. Toutes les requêtes sont vérifiées côté serveur.

Le site fait l'objet d'audits de sécurité réguliers couvrant le code backend, le frontend, la base de données et la configuration serveur.

Les erreurs serveur sont loguées en interne et jamais exposées aux utilisateurs.

Les dépendances sont surveillées et mises à jour pour corriger les vulnérabilités connues.

Vous pouvez exporter vos données à tout moment depuis votre espace Mon compte.

Vous pouvez supprimer votre compte et toutes les données associées de manière définitive.

Pour toute question relative à la sécurité, contactez-nous via la page Contact.