Skip to content

Sécurité

Défense en profondeur, par conception.

Dernière mise à jour — Février 2026

Architecture

InvestTracker est construit avec une architecture axée sur la sécurité. Vos données financières sont chiffrées au repos et en transit, protégées par des contrôles d'accès stricts et isolées de sorte que personne — ni les autres utilisateurs, ni les tiers, ni même nous — ne puisse accéder à vos positions.

Authentification

  • Authentification sécuriséel'inscription, la connexion et la gestion des sessions utilisent des protocoles standard de l'industrie. Les mots de passe sont hachés avec bcrypt et ne sont jamais stockés en texte clair.
  • Validation de session côté serveurchaque requête authentifiée est vérifiée côté serveur, en appelant directement le service d'authentification plutôt que de faire confiance au JWT seul.
  • Protection par middlewaretoutes les routes du tableau de bord sont protégées par un middleware qui vérifie l'état de la session avant le rendu.

Isolation des données

Chaque table de la base de données est protégée par des politiques strictes de contrôle d'accès. Les requêtes sont automatiquement limitées à l'utilisateur authentifié, garantissant une isolation complète des données au niveau de la base de données — pas seulement au niveau de l'application. Un utilisateur ne peut ni lire ni modifier les données d'un autre en aucune circonstance.

Les opérations administratives (tâches cron, instantanés en masse) utilisent une clé privilégiée séparée avec des vérifications d'autorisation explicites et ne sont jamais exposées au client.

Sécurité des routes API

  • Endpoints cronprotégés par un jeton porteur secret. Si le secret n'est pas configuré, l'endpoint renvoie un 500 et refuse de s'exécuter.
  • Endpoints d'exportationvérifient l'identité de l'utilisateur et confirment la propriété du portefeuille avant de renvoyer des données.
  • Pas d'APIs publiquesil n'y a pas d'endpoints non authentifiés qui exposent les données utilisateur.

Sécurité du transport

  • Tout le trafic entre le client et le serveur utilise HTTPS / TLS.
  • Les connexions à la base de données utilisent des canaux chiffrés TLS.
  • Les appels API tiers (données de marché, e-mail) sont effectués via HTTPS depuis le serveur uniquement — jamais depuis le navigateur.

En-têtes de sécurité HTTP

L'application définit les en-têtes de sécurité suivants sur chaque réponse :

  • X-Content-Type-Options: nosniff
  • X-Frame-Options: DENY
  • Referrer-Policy: strict-origin-when-cross-origin
  • Permissions-Policy: camera=(), microphone=(), geolocation=()
  • Content-Security-Policyrestreint les sources de scripts, bloque le cadrage et limite les connexions aux domaines approuvés.

Chiffrement des données

  • Au repostoutes les données sont chiffrées au repos en utilisant AES-256.
  • En transittoutes les données sont chiffrées via TLS 1.2+ pendant la transmission.
  • Identifiantsles mots de passe sont hachés avec bcrypt. Les clés API et les secrets sont stockés en tant que variables d'environnement, jamais dans le code source ni dans la base de données.

Gestion des dependances

Les dependances sont regulierement auditees. L'application utilise un arbre de dependances verrouille pour prevenir les attaques de chaine d'approvisionnement par des mises a jour de packages non verifiees.

Tous les packages npm sont surveilles en continu pour les vulnerabilites connues a l'aide d'outils d'audit automatises. Les problemes critiques et de haute gravite sont corriges dans les 48 heures suivant leur divulgation. Notre arbre de dependances est verrouille via un fichier de verrouillage de packages, garantissant que les builds sont reproductibles et immunises contre les attaques d'injection dans la chaine d'approvisionnement.

Divulgation responsable

Si vous decouvrez une vulnerabilite de securite, veuillez la signaler de maniere privee a support@investtracker.app. Nous prenons tous les signalements au serieux et repondrons rapidement. Pour plus de details sur la facon dont nous traitons vos donnees, consultez notre Politique de Confidentialite.

Nous accusons reception de tous les rapports de vulnerabilite dans les 48 heures et nous nous engageons a fournir un correctif dans les 30 jours. Si vous devez communiquer des details sensibles, contactez-nous directement par e-mail et nous vous fournirons un canal securise.

Normes de l'industrie

Nos pratiques de securite s'appuient sur les principaux cadres de reference de l'industrie :