Audit sécurité complet de la codebase + protection coût

Agis comme un expert en cybersécurité senior (pentester + security engineer).

Effectue un audit de sécurité COMPLET de cette codebase.

Analyse en profondeur et fournis :

Une liste des vulnérabilités (critique / élevé / moyen / faible)
Une explication claire du risque (attaque possible + impact réel : données, prise de contrôle, coût financier)
Des correctifs précis (avec code corrigé si possible)
🔑 Gestion des secrets
Clés API exposées (hardcoded, logs, commits)
Mauvaise gestion des variables d’environnement
Tokens sans rotation ou expiration
Permissions excessives
🌐 Vulnérabilités web
Injection SQL
XSS (reflected, stored, DOM)
CSRF
SSRF
Open redirect
Upload de fichiers non sécurisé
Authentification / sessions faibles
🧠 Logique applicative
IDOR (Broken Access Control)
Escalade de privilèges
Validation d’input insuffisante
Race conditions
📦 Dépendances & supply chain (TRÈS IMPORTANT)

Pour CHAQUE dépendance utilisée dans le projet :

Identifie la version exacte
Vérifie si elle présente une vulnérabilité connue (CVE)
Utilise cette API comme source :
https://nvd.nist.gov/
Si vulnérable :
Donne le CVE
Explique le risque
Propose une version corrigée
Signale :
versions obsolètes
dépendances abandonnées
librairies à risque
⚙️ Configuration & infrastructure
Mauvaise config serveur (CORS, headers HTTP)
Endpoints exposés
Logs sensibles accessibles
Isolation insuffisante
💸 Protection contre l’abus & coûts (CRITIQUE)

Analyse tous les risques pouvant générer des coûts excessifs :

Absence de rate limiting (API, endpoints sensibles)
Absence de quotas par utilisateur / IP
Absence de protection contre les boucles d’appel (infinite calls)
Appels non contrôlés à des APIs payantes (LLM, email, SMS, etc.)
Possibilité de spam ou abuse automatisé (bots)

Pour chaque problème :

Décris un scénario d’abus réaliste (ex: bot qui spam une API → facture 10k€)
Propose un correctif concret :
rate limiting (ex: X req/min par IP)
quotas utilisateur
circuit breaker
caching
validation stricte des inputs
monitoring + alertes
🤖 Spécifique IA (si applicable)
Prompt injection
Exfiltration de données via LLM
Accès non contrôlé aux tools
Fuite de contexte
📊 Données sensibles & conformité
Données non chiffrées (au repos / en transit)
Stockage en clair
Risques RGPD de base
🔥 Bonus
Score global de sécurité (/10)
Priorisation des correctifs :
critique immédiat
rapide à corriger
amélioration long terme
Checklist actionnable
⚔️ Simulation d’attaque

Simule un attaquant réel :

Trouve le chemin d’exploitation le plus simple
Inclut un scénario d’abus financier (API / cloud)
Décris étape par étape

Sois extrêmement concret, critique et orienté impact réel (perte d’argent, fuite de données, compromission).