Audit de Sécurité 2025 par cure53
La sécurité a toujours été au cœur de ce que nous faisons chez Psono. C'est pourquoi nous sommes ravis de partager les résultats de notre dernier audit de sécurité, réalisé par la célèbre entreprise de cybersécurité Cure53. Leur test d'intrusion en boîte blanche et audit de code source complets ont porté sur les extensions de navigateur Psono (Chrome, Firefox, Edge), notre API backend et les points d'extrémité associés.
“L'utilisation à l'échelle de l'application de PyNaCl garantit une gestion efficace des données et de la cryptographie.”
— Rapport de Sécurité de Cure53, Mars 2025
Ce que l'Audit a Couvert
L'audit, qui s'est étendu sur quatre lots de travaux (WP) dédiés, a évalué à la fois les composants côté client et côté serveur de Psono :
- WP1–WP3: extensions Chrome, Firefox et Edge
- WP4: API backend et points d'extrémité
L'équipe de Cure53 a eu un accès complet à notre code source, notre documentation et nos ressources internes. Au cours de douze jours, leur équipe de cinq personnes a méticuleusement évalué la sécurité de notre infrastructure.
Résultats et Corrections
Un total de huit problèmes liés à la sécurité ont été identifiés, allant de faible à haute sévérité :
- 0 problème de sévérité critique
- 1 problème de haute sévérité
- 3 problèmes de sévérité moyenne
- 4 problèmes de faible sévérité ou divers
Toutes les vulnérabilités ont déjà été corrigées et vérifiées par Cure53. Là où cela était approprié, nous avons mis en place des mesures d'atténuation supplémentaires telles que les CSP (Politiques de Sécurité de Contenu), la validation des protocoles, les mises à niveau des dépendances et un comportement de remplissage automatique plus sécurisé.
Vous pouvez lire la liste complète des résultats, y compris des informations techniques détaillées et des notes de remédiation, dans la version publique du rapport de Cure53 liée ci-dessous.
Pourquoi Cela Compte
Être transparent sur nos pratiques de sécurité contribue à renforcer la confiance que nos utilisateurs placent dans Psono. Les projets open source bénéficient grandement de la surveillance publique—et nous l'accueillons favorablement.
Nous sommes fiers que le rapport reconnaisse la force de nos mesures de sécurité existantes. Il est particulièrement notable que bon nombre des problèmes identifiés aient vu leur impact atténué par conception, grâce à des mécanismes tels que le contrôle d'accès par clé API et l'application stricte des CSP.
Téléchargez le Rapport Complet
Vous pouvez lire le rapport complet de Cure53 ici:
