Trent Power

Sécurité et modèle de menace

Statique.Auto-hébergé.Vérifiable.

Comment ce site est hébergé, ce qu’il protège, ce qu’il ne protège pas - et comment chacun peut le vérifier indépendamment.

1. Architecture

Architecture

Navigateur
HTTPS · ni cookies ni analyses
Hébergement statique
Apache · Gandi · Paris · déploiement SFTP
Fichiers du site
HTML · CSS · JavaScript natif · polices auto-hébergées
Cache hors-ligne
Service worker · cache local dès la première visite
Confiance
Intégrité · Vérification · Source · Éditions
Archive
Instantanés signés et figés

Les routes d'inspection publiques exposent le manifeste signé, les enregistrements de page, les miroirs source lisibles et les éditions archivées sans exposer l'infrastructure privée.

2. Actifs protégés

Les contrôles décrits ici protègent :

  • La propriété du domaine
  • L’intégrité DNS
  • L’intégrité du compte d’hébergement
  • L’intégrité du contenu public
  • La clé de signature utilisée pour l’authenticité des versions

3. Modèle de menace

Compromission de l’infrastructure

  • Prise de contrôle du compte registrar
  • Détournement DNS
  • Compromission des identifiants d’hébergement

Altération du contenu

  • Modification de fichiers après déploiement
  • Injection de JavaScript malveillant
  • Altération silencieuse des ressources statiques

Abus administratif

  • Credential stuffing
  • Analyse automatisée des vulnérabilités

Bruit internet courant

Sondage automatisé continu pour les chemins CMS courants, les fichiers de configuration ou les points d’entrée connus. Ces éléments sont traités comme des conditions de fond persistantes plutôt que comme des événements exceptionnels.

4. Contrôles

Registrar & DNS

  • MFA activée
  • Verrouillage du registrar actif
  • DNSSEC activé et validé
  • Enregistrements CAA restreignant l’émission de certificats

Hébergement

  • Authentification multi-facteurs activée
  • Déploiement SFTP uniquement
  • Aucune exposition SSH shell
  • Aucune exécution en arrière-plan planifiée

Contenu public

  • Architecture statique réduisant la surface d’attaque côté serveur
  • CSP stricte démarrant par default-src 'none'
  • Aucun chargement de ressource externe
  • Aucune exécution de script dynamique
  • Stockage navigateur local limité aux préférences du lecteur (langue, apparence), aux marqueurs de première visite qui retirent l’imprimerie de la page d’accueil et la mention de traduction automatique, et aux horodatages d’installation du service worker indiquant uniquement quand le cache hors-ligne a été rafraîchi ; consultable sur la console de l’appareil local ; aucun cookie, aucun identifiant d’analyse ou de publicité, aucun suivi de session ni profilage comportemental

Surveillance

  • Analyse structurée des journaux
  • Détection de patterns et scoring des anomalies
  • Détection de dérive d’intégrité des fichiers par rapport à la base de référence signée

5. Surface de vérification publique

Routes d’inspection

Le site expose des routes d'inspection publique pour que le contenu publié puisse être contrôlé sans accès à l'infrastructure privée.

  • /integrity/ recense les éditions signées, la clé publique et le manifeste
  • /verify/ recense l'URL canonique d'une page, son miroir source et son empreinte
  • /source/ publie les miroirs lisibles d'une sélection de fichiers publics
  • /integrity/releases/ conserve les instantanés signés et figés

Ce qu’elles ne couvrent pas

Ces routes facilitent l'inspection et la provenance. Elles ne suppriment pas la nécessité de protéger le DNS, les identifiants d'hébergement et la clé privée de signature.

6. Risque résiduel

Ce modèle protège le site statique public. Il ne protège pas contre la compromission du bureau d’enregistrement, de l’hébergement, des appareils clients ou de la clé privée.

Hors du périmètre

Ce modèle ne tente pas de traiter :

  • Compromission physique de l’infrastructure d’hébergement
  • Compromission de la racine DNS mondiale
  • Compromission d’une autorité de certification (CA)
  • Adversaires étatiques
  • Exploits navigateur zero-day sur les appareils clients

Où le risque se concentre

Les risques principaux restent la compromission du domaine, du DNS, de l'hébergement et de la clé de signature privée.

7. Divulgation

La divulgation responsable est la bienvenue. Les coordonnées de sécurité et les instructions de communication chiffrée sont publiées sur /.well-known/security.txt.

8. Principes de conception

  • Simplicité plutôt que complexité
  • Comportement déterministe plutôt que systèmes dynamiques
  • Transparence plutôt qu’obscurité
  • Intégrité vérifiable plutôt qu’hypothèses de confiance

9. Vérification & tests

Contrôles par édition

Chaque édition publiée est contrôlée par rapport à un ensemble fixe de cibles publiques. Les contrôles couvrent la disponibilité, la confidentialité, les en-têtes de sécurité, l’accessibilité, le référencement et le balisage, et le résultat est consigné sous forme d’instantané signé avec l’édition.

Voir les derniers résultats de tests sur /tests/.