Sécurité · Mis à jour 2026 T2

On traite ta mémoire comme tu traiterais les secrets d'un autre.

La mémoire est la donnée la plus intime qu'on te demandera jamais de nous confier. Ça veut dire que la sécurité n'est pas une surface marketing ici — c'est le plancher sur lequel tout le reste se tient.

Cette page est une carte en langage clair : ce qu'on fait déjà, ce qu'on sait qu'on doit encore faire, et comment nous joindre si tu trouves quelque chose qu'on a manqué.

Posture actuelle

Six choses déjà vraies aujourd'hui.

Ce ne sont pas des aspirations. Elles sont câblées dans le code et l'environnement de production maintenant, et on te dira dans le changelog le jour où l'une d'elles change.

  • 01

    Tokens chiffrés au repos

    Les tokens d'auth vivent dans EncryptedTokenStore on-device. Pas de credentials en clair, jamais. Certificate pinning appliqué sur chaque endpoint critique.

  • 02

    Gateway IA Zero-Data-Retention

    Tout le trafic IA passe par notre propre gateway avec Zero Data Retention appliqué (opt-out training, no logging). Pas d'OpenAI. Pas d'Anthropic. Pas de Google dans le chemin mémoire.

  • 03

    Captures sensibles ne quittent jamais l'appareil

    Pré-filtre PII câblé au gate intake. Santé, finance, identité, et tout ce que tu marques privé sont exclus de chaque chemin IA — RAG, embeddings, intake, Mini AHA, cartes Wisp. Même en Pro.

  • 04

    Analytics local-first

    Les analytics d'onboarding vivent dans DataStore par défaut. Envoi cloud uniquement quand tu consens explicitement. Google Consent Mode v2 appliqué au chargement de page avec defaults DENIED.

  • 05

    Rate limiting fail-closed

    La gateway IA fail-CLOSED sur les rate limits, pas open. Un client mal configuré ne dépasse jamais le quota silencieusement. Le cap anti-abuse est publié dans le changelog quand il bouge.

  • 06

    Export texte brut, toujours

    Chaque compte peut exporter la mémoire complète en texte brut, tier gratuit inclus. Pas de lock-in, pas d'upsell « export premium », pas d'obscurcissement. Tu quittes wamid avec tout.

Threat model

Ce qui nous inquiète, et ce qu'on fait à propos.

La sécurité n'est pas l'absence de menaces — c'est une vue lucide sur celles qui comptent et la posture qu'on tient contre chacune. Voici la nôtre.

  • 01 · Menace

    Un attaquant vole un appareil déverrouillé avec wamid installé.

    Mitigation

    Les données de l'app sont chiffrées au repos par l'OS. Les tokens sont wrappés par EncryptedTokenStore (Android Keystore). Re-auth requise après timeout biométrique. Sign-out à distance disponible.

  • 02 · Menace

    Un vendor IA tiers logue ou entraîne sur une capture d'un user.

    Mitigation

    Tout le trafic IA route à travers notre propre gateway avec Zero Data Retention appliqué. Le modèle de raisonnement est un modèle open-weight servi via notre gateway privacy-first, jamais lié à un seul fournisseur IA majeur. Les captures sensibles n'atteignent jamais le cloud.

  • 03 · Menace

    Attaquant réseau effectue un MITM sur les appels IA.

    Mitigation

    Certificate pinning sur chaque endpoint critique (Vertex, Supabase, gateway). TLS 1.3 appliqué. Pas de fallback HTTP. Connexion refusée sur cert mismatch.

  • 04 · Menace

    Un bug expose accidentellement une note privée au pipeline IA.

    Mitigation

    Le flag privé est appliqué au gate, pas à l'UI. Embedding invalidé au toggle vers privé. Processus de review adversarial avant chaque release qui touche au chemin IA.

  • 05 · Menace

    Les credentials auth Supabase fuitent depuis l'appareil.

    Mitigation

    Refresh tokens stockés dans EncryptedTokenStore avec rotation. Lifetimes JWT capés. Révocation côté serveur honorée en quelques minutes. Sign-out partout au niveau compte.

  • 06 · Menace

    Un rate limit mal configuré permet l'abus et gonfle le coût IA.

    Mitigation

    Gateway fail-closed sur quota. Caps par user et par IP. Cap anti-abuse publié dans le changelog. Spikes anormaux alertent dans l'observabilité avant qu'ils n'atteignent la facture.

  • 07 · Menace

    Un employé chez notre infra provider essaie de lire de la mémoire.

    Mitigation

    Le contenu mémoire est chiffré au repos. Postgres row-level security par user. Logs d'accès auditables. Plan long terme : chiffrement end-to-end pour la sync (phase Compass) pour que même nous ne puissions pas lire le corpus synchronisé.

  • 08 · Menace

    Un endpoint d'export fuit plus de données que l'user qui demande possède.

    Mitigation

    L'export est gated par row-level security à la database. Review manuelle de chaque endpoint qui retourne des données user-scoped. Penetration test prévu avant le lancement public (phase Signal).

Roadmap d'audit

Les certifications et audits sur lesquels on travaille.

On ne réclame pas de certifications qu'on n'a pas. On publie où on en est sur la route vers chacune, avec la date à laquelle on s'attend à la franchir.

  • MaintenantLiveReview d'architecture privacy-by-design, interne.
  • 2026 · T3LiveBaseline conformité RGPD / ePrivacy (Consent Mode v2, brouillon DPA template).
  • 2026 · T4En coursPenetration test indépendant avant le lancement public Android.
  • 2027 · T1En coursThreat model public et security white paper.
  • 2027 · T3PlanifiéAssessment de readiness SOC 2 Type I.
  • 2028 · T1PlanifiéFenêtre d'audit SOC 2 Type II ouvre.
  • 2028 · T2PlanifiéProcessus de certification ISO 27001 commence.
  • 2028 · T4PlanifiéContrats enterprise DPA-ready, option déploiement EU-only.

Responsible disclosure

Tu trouves quelque chose qu'on a manqué ? Dis-le nous d'abord, on te crédite, on te paie.

Si tu découvres une vulnérabilité dans wamid, signale-la nous en privé avant de la partager publiquement. On s'engage à acknowledger dans les 48 heures, à communiquer durant le triage, et à te créditer publiquement quand le fix ship — sauf si tu préfères rester anonyme.

Envoie un rapport à

security@wamid.app

Acknowledgement dans les 48 heures. Update triage dans les 5 jours ouvrés. Fix et publication crédit coordonnés avec toi.

Dans le scope

  • wamid.app et tous les sous-domaines (api, app, ai-call, etc.)
  • Application Android (package production com.wamid.app).
  • Endpoints gateway IA exposés aux users authentifiés.
  • Authentification, session et gestion des tokens.
  • Fuite de données cross-account, bypass RLS, élévation de privilèges.
  • Violations privacy : capture sensible qui quitte l'appareil, bypass opt-in training.

Hors scope

  • Rapports générés uniquement par scanners automatisés sans preuve d'impact.
  • Denial of service, test de rate-limit, brute force sur la production.
  • Social engineering de l'équipe wamid ou des users.
  • Attaques physiques contre les appareils ou l'infrastructure.
  • Issues dans des services tiers qu'on ne contrôle pas (Supabase, Vercel, notre gateway IA upstream).

PGP

Une clé PGP pour security@wamid.app sera publiée avant le premier penetration test public (2026 T4). En attendant, envoie en clair — on basculera sur des canaux chiffrés dans notre réponse si le rapport est sensible.

Pendant qu'on continue de relever le plancher

Réserve ta place dans la beta privée et tu verras chaque update sécurité au moment où elle ship.

Réserver ma placeLire la page confiance