← Retour

Sécurité

En bref

  • Authentification par clés d'accès WebAuthn FIDO2
  • Protocole OAuth 2.1 pour la fédération d'identité
  • Chiffrement TLS 1.3 pour toutes les communications
  • Données stockées au Canada (Firebase Montréal)
  • Secrets isolés, accès administratifs journalisés
  • Conformité Loi 25 et OWASP ASVS Niveau 1

Rôle de Nordique

Nordique est le fournisseur d'identité de l'écosystème Cérebrum. Nordique ne traite aucune observation d'enfant et aucune donnée pédagogique : son unique rôle est de vérifier l'identité d'un utilisateur et d'émettre un jeton d'accès aux applications partenaires (Yopidou et autres).

Cette séparation est volontaire : elle limite la surface d'exposition des données sensibles et garantit qu'une compromission théorique du fournisseur d'identité n'expose pas directement les dossiers éducatifs.


Authentification sans mot de passe

Nordique utilise exclusivement des clés d'accès (WebAuthn, standard FIDO2). Concrètement :

  • Pas de mot de passe à mémoriser, à voler, ou à réutiliser sur d'autres sites.
  • Clé privée jamais transmise : elle reste sur votre appareil (téléphone, clé USB sécurisée, gestionnaire de clés OS).
  • Résistance au hameçonnage : une clé d'accès est liée cryptographiquement au domaine nordique.app, elle ne peut pas être utilisée sur un faux site.

Fédération OAuth 2.1

L'accès aux applications partenaires (Yopidou notamment) passe par le protocole OAuth 2.1, avec :

  • PKCE obligatoire pour toutes les applications clientes (protection contre l'interception du code d'autorisation).
  • Jetons courts et rafraîchissement sécurisé, avec rotation.
  • Portée (scopes) minimale : chaque application reçoit uniquement les informations nécessaires à son fonctionnement.

Isolation des secrets

Les secrets Nordique (clés de signature de jetons, identifiants administrateurs, clés Firebase) sont isolés du code source public et ne sont jamais imprimés dans les journaux.

  • Deuxième facteur fort sur tous les accès administratifs (clés d'accès + application d'authentification).
  • Rotation planifiée des clés de signature.
  • Journalisation des actions sensibles (création de client OAuth, révocation de jeton, accès admin).

Hébergement

Firebase Firestore

Datacenter : Montréal (northamerica-northeast1)

Propriétaire : Google Canada

Les données d'identité (nom, courriel, téléphone, clé publique) sont physiquement stockées au Canada. Pour les détails concernant le CLOUD Act, consultez notre page Confidentialité.


Cadres de référence

  • Loi 25 (c. P-39.1) :Protection des renseignements personnels au Québec.
  • OWASP ASVS Niveau 1 :Vérification de la sécurité des applications Web.
  • FIDO2 / WebAuthn :Standard d'authentification forte.
  • OAuth 2.1 :Autorisation déléguée.

Audit de cybersécurité (COCD Niveau 1) en cours au deuxième trimestre 2026 dans le cadre du déploiement chez un client sous tutelle d'un organisme public.


Divulgation responsable

Vous avez identifié une faille ou une vulnérabilité ? Nous vous remercions de nous la signaler de manière responsable par courriel avant toute publication. La politique détaillée sera publiée dans le fichier SECURITY.md du dépôt public. En attendant, un courriel suffit.


Contact

Philippe Bourque

CEO / CTO, Cérebrum inc.

Responsable de la sécurité de l'information

philippe.ul@gmail.com

Pour une urgence de sécurité, ajoutez « urgence sécurité » à l'objet du courriel.