Accueil

Sécurité

ChemRisk AI traite des données d’évaluation du risque chimique : la sécurité applicative n’est pas une option. Voici, en détail et sans jargon marketing, ce qui est réellement en place.

Dernière mise à jour : juillet 2026

Sessions et identifiants

Les sessions sont des jetons signés HMAC-SHA256, servis en cookie httpOnly, Secure et SameSite=Strict — inaccessibles au JavaScript et non rejouables inter-site. Les codes de connexion par e-mail et les clés API sont hachés (SHA-256) avant stockage : même en cas d’accès à la base, aucun secret n’est stocké en clair. La comparaison des codes se fait en temps constant pour résister aux attaques par mesure de temps.

En-têtes HTTP durcis

Content-Security-Policy, Strict-Transport-Security (HSTS, préchargement inclus), X-Frame-Options: DENY, X-Content-Type-Options: nosniff, Referrer-Policy stricte, Cross-Origin-Opener-Policy et Permissions-Policy sont appliqués sur toutes les réponses, pour réduire la surface d’attaque XSS, clickjacking et fuite de référent.

Protection CSRF et anti-abus

Toute requête de modification (POST/PUT/PATCH/DELETE) authentifiée par cookie doit provenir de la même origine, vérifiée en amont dans le middleware ; les tentatives inter-site sont bloquées et journalisées. Une limitation de débit s’applique par IP sur les routes sensibles (connexion, paiement, analyse), avec un filtrage des requêtes automatisées dépourvues d’en-tête User-Agent.

Sécurité du chemin IA

Les requêtes utilisateur sont assainies (caractères de contrôle retirés, tentatives de falsification des délimiteurs neutralisées) puis encapsulées dans des balises explicites avant d’atteindre le modèle : tout ce qui vient de l’utilisateur est traité comme une donnée à analyser, jamais comme une instruction. Le prompt système inclut des consignes explicites de résistance à l’injection (ne jamais révéler ou modifier ses propres instructions).

Paiement

Les paiements sont traités par Stripe ; ChemRisk AI ne reçoit, ne traite ni ne stocke jamais de numéro de carte bancaire. Les événements de facturation (webhooks) sont vérifiés par signature cryptographique avant tout traitement.

Déploiement et configuration

Les variables d’environnement sensibles (secret de session, clés API) sont validées au démarrage du serveur : en leur absence, le service refuse d’émettre des sessions plutôt que de vous exposer à une faille silencieuse — un choix « échec fermé » plutôt que « échec ouvert ».

Ce que nous ne prétendons pas

ChemRisk AI n’est, à ce jour, ni certifié ISO 27001 ni SOC 2 — ce sont des démarches formelles distinctes de la sécurité technique décrite ici, que nous n’avons pas engagées. Nous préférons documenter précisément ce qui existe plutôt que d’afficher un badge de conformité non mérité.

Signaler une vulnérabilité

Si vous identifiez une faille de sécurité, merci de nous la signaler de façon responsable à k.krishanth@outlook.fr avant toute divulgation publique. Nous accusons réception et traitons chaque signalement sérieusement.