L'API Militant implémente plusieurs couches de sécurité pour protéger contre les attaques courantes.

Protections implémentées

1. Authentification sécurisée

• Tokens SHA-256 de 64 caractères
• Expiration automatique après 30 jours
• Révocation possible à tout moment
• Stockage sécurisé (hash uniquement en base)
• Authentification Double Facteur (2FA) : Support TOTP (Google Authenticator, etc.) et codes de récupération.
• Passkeys (WebAuthn) : Support de la connexion biométrique sans mot de passe.

2. Protection contre le brute force

• Rate limiting par IP : 60 requêtes/minute
• Rate limiting par endpoint : 100-200 requêtes/heure
• Limite de tentatives de login : 10 tentatives/15 minutes
• Blocage automatique après 20 tentatives/heure
• Délais aléatoires pour prévenir les attaques par timing

3. Protection contre les injections

• Requêtes préparées (PDO) pour toutes les requêtes SQL
• Validation et sanitisation de toutes les entrées
• Détection automatique des patterns d'attaque (SQL injection, XSS, path traversal)
• Blocage des null bytes et caractères dangereux

4. Headers de sécurité

• X-Frame-Options: DENY - Protection contre le clickjacking
• X-XSS-Protection: 1; mode=block - Protection XSS
• X-Content-Type-Options: nosniff - Prévention du MIME sniffing
• Referrer-Policy: strict-origin-when-cross-origin
• Content-Security-Policy - Politique de sécurité du contenu
• Strict-Transport-Security - HSTS (si HTTPS activé)

5. CORS configuré

• Origines configurables via variable d'environnement
• Par défaut : (à changer en production)
• Méthodes autorisées : GET, POST, PUT, DELETE, OPTIONS
• Headers autorisés : Content-Type, Authorization

6. Validation des entrées

• Format des usernames : 3-30 caractères alphanumériques
• Format des emails : validation RFC complète
• Format des tokens : exactement 64 caractères hexadécimaux
• Longueur maximale des mots de passe : 128 caractères (prévention DoS)
• Validation de la force des mots de passe

7. Protection contre l'énumération

• Délais aléatoires sur les échecs d'authentification
• Messages d'erreur génériques
• Pas de différence entre "utilisateur inexistant" et "mot de passe incorrect"

8. Logging de sécurité

• Toutes les tentatives de login (succès et échecs)
• Détection des patterns d'attaque
• Révocation et rafraîchissement de tokens
• IP, User-Agent et timestamp pour chaque événement
• Alerte automatique en cas d'activité suspecte (ex: connexion depuis un nouvel IP si 2FA activée)

11. Flux d'authentification 2FA

Lorsqu'un compte a la 2FA activée, le processus d'authentification se déroule en deux étapes : 1. Étape 1 : L'utilisateur envoie son username et password. L'API renvoie une erreur 401 (ou un succès partiel) avec le flag two_factor_required: true. 2. Étape 2 : Le client doit demander le code TOTP à l'utilisateur et renvoyer la même requête de login en incluant le paramètre totp dans le JSON. 3. Codes de Récupération : L'API accepte également les codes de récupération (8-12 caractères) dans le paramètre totp. Un code de récupération utilisé est automatiquement invalidé.

9. Limitation de taille

• Requêtes limitées à 10MB maximum
• Protection contre les attaques par déni de service

10. Protection Apache (.htaccess)

• Blocage des fichiers sensibles (.env, config.php)
• Désactivation du listing de répertoires
• Blocage des patterns d'attaque au niveau serveur
• Désactivation de PHP dans les dossiers d'upload
• Headers de sécurité supplémentaires

Configuration de production

1. Activer HTTPS obligatoire

Dans /api/.env :

API_REQUIRE_HTTPS=true

2. Configurer CORS strictement

Dans /api/.env :

API_CORS_ORIGINS=https://app.example.com,https://mobile.example.com

3. Activer HSTS

Décommenter dans /api/.htaccess :

Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"

4. Forcer HTTPS

Décommenter dans /api/.htaccess :

RewriteCond %{HTTPS} off
RewriteRule ^(.)$ https://%{HTTP_HOST}/$1 [R=301,L]

5. Désactiver le mode debug

Dans /api/.env :

API_DEBUG=false

6. Utiliser un utilisateur MySQL dédié

CREATE USER 'api_user'@'localhost' IDENTIFIED BY 'mot_de_passe_fort';
GRANT SELECT, INSERT, UPDATE, DELETE ON militant.* TO 'api_user'@'localhost';
FLUSH PRIVILEGES;

Dans /api/.env :

API_DB_USER=api_user
API_DB_PASS=mot_de_passe_fort

7. Configurer un pare-feu

UFW (Ubuntu)
sudo ufw allow 443/tcp
sudo ufw enable
Fail2Ban pour l'API
sudo cp /path/to/fail2ban/filter.d/militant-api.conf /etc/fail2ban/filter.d/
sudo systemctl restart fail2ban

8. Surveiller les logs

Logs de sécurité
tail -f /var/log/apache2/error.log | grep "API Security"
Logs d'accès
tail -f /var/log/apache2/access.log | grep "/api/"

Bonnes pratiques

Pour les développeurs d'applications

1. Stockage sécurisé des tokens - Ne jamais stocker en clair dans le code - Utiliser le keychain/keystore du système - Chiffrer si stockage en base de données locale

2. Gestion des tokens - Rafraîchir avant expiration - Révoquer lors de la déconnexion - Ne jamais partager entre utilisateurs

3. HTTPS uniquement - Toujours utiliser HTTPS en production - Vérifier les certificats SSL - Épingler les certificats si possible

4. Gestion des erreurs - Ne jamais afficher les tokens dans les logs - Ne pas exposer les détails techniques aux utilisateurs - Logger les erreurs côté serveur uniquement

5. Rate limiting côté client - Implémenter un cache local - Limiter les requêtes automatiques - Gérer les erreurs 429 avec backoff exponentiel

Pour les administrateurs

1. Surveillance - Monitorer les tentatives de login échouées - Alertes sur les patterns d'attaque - Vérifier régulièrement les tokens actifs

2. Mises à jour - Garder PHP à jour (8.2+) - Mettre à jour les dépendances régulièrement - Appliquer les patches de sécurité

3. Backups - Sauvegarder la base de données régulièrement - Tester les restaurations - Chiffrer les backups

4. Audits - Audit de sécurité régulier - Tests de pénétration - Revue du code

Signaler une vulnérabilité

Si vous découvrez une vulnérabilité de sécurité :

1. NE PAS créer d'issue publique 2. Envoyer un email à : security@militant.example.com 3. Inclure : - Description détaillée - Steps pour reproduire - Impact potentiel - Suggestions de correction (optionnel)

Nous nous engageons à répondre sous 48h et à corriger les vulnérabilités critiques en priorité.

Checklist de sécurité

Avant de déployer en production :

• [ ] HTTPS activé et forcé
• [ ] CORS configuré avec domaines spécifiques
• [ ] Mode debug désactivé
• [ ] Utilisateur MySQL dédié avec permissions minimales
• [ ] Fail2Ban configuré
• [ ] Logs de sécurité activés et surveillés
• [ ] Backups automatiques configurés
• [ ] Certificat SSL valide et à jour
• [ ] Headers de sécurité vérifiés
• [ ] Rate limiting testé
• [ ] Tests de pénétration effectués

Ressources

• OWASP API Security Top 10
• OWASP Cheat Sheet Series
• PHP Security Guide
• Mozilla Web Security Guidelines

Conformité

L'API Militant respecte :

• RGPD (Article 32 - Sécurité du traitement)
• OWASP API Security Top 10
• PCI DSS (si traitement de paiements)
• ISO 27001 (bonnes pratiques)

Historique des mises à jour de sécurité

v1.0.0 (2026-02-02)

• Implémentation initiale de toutes les protections
• Rate limiting par IP et par endpoint
• Protection contre brute force
• Validation complète des entrées
• Headers de sécurité
• Logging des événements de sécurité

---