Politique anti-abus et sécurité
Dernière mise à jour : [À COMPLÉTER : date de publication].
La présente politique décrit les mesures techniques et organisationnelles mises en œuvre par Promastro pour prévenir les abus, la fraude et les comportements malveillants sur le site promastro.be. Elle est publiée par souci de transparence et constitue la base légale de l’intérêt légitime (art. 6.1.f RGPD) au titre duquel certaines données techniques sont traitées.
1. Pourquoi cette politique ?
Promastro traite chaque jour des inscriptions, des avis, des messages et des paiements. Pour préserver la qualité du service et la sécurité des utilisateurs, plusieurs mesures techniques sont déployées. Elles peuvent occasionnellement bloquer une action légitime ; cette page vous explique pourquoi et comment faire débloquer la situation.
2. Limites de débit (rate limits)
Pour prévenir le spam, le scraping automatisé et les attaques par force brute, certaines actions sont limitées en fréquence :
| Action | Limite | Critère |
|---|---|---|
| Vérification numéro de TVA (VIES) | 5 / heure | Par adresse IP (anonymisée) |
| Envoi de messages à un Pro | 3 / 24 h | Par Pro destinataire et par IP |
| Tentatives de paiement Mollie | 3 / 24 h | Par compte |
| Recherche IA (langage naturel) | 20 / heure | Par adresse IP (anonymisée) |
| Tentatives de connexion | 5 / 15 min | Par compte + IP |
| Demandes de réinitialisation de mot de passe | 3 / heure | Par compte + IP |
| Dépôt d’avis | 1 par fiche + 5 par jour au total | Par compte |
L’adresse IP est anonymisée par hash HMAC-SHA256 avec une clé tournante, conformément aux recommandations de l’APD. Aucune adresse IP n’est conservée en clair.
3. Anti-fraude TVA / inscription Pro
L’inscription d’un Professionnel sur Promastro est conditionnée à plusieurs vérifications anti-fraude :
- Numéro de TVA — vérification automatisée via le service officiel VIES de la Commission européenne ; format attendu
BE0XXXXXXXXXouBE1XXXXXXXXX; - Unicité — un même numéro de TVA ne peut être associé qu’à un seul compte Pro actif simultanément. La détection est faite via un hash SHA256 du numéro (jamais en clair) ;
- Anti-abus essai gratuit — la période d’essai gratuite (cf. politique d’essai) ne peut être utilisée qu’une seule fois par numéro de TVA et par adresse email ;
- Pré-autorisation 0,01 € via Mollie pour valider la carte bancaire et obtenir un mandat ; cette somme est créditée ou remboursée immédiatement ;
- Vérification BCE — la cohérence entre le numéro de TVA, le nom de la société et l’adresse déclarée est vérifiée auprès de la Banque-Carrefour des Entreprises belge ;
- Vérification KYC d’identité (optionnelle, à la demande du Pro pour obtenir un badge supplémentaire) — pièce d’identité scannée + selfie, vérifiés par l’équipe modération, données chiffrées AES-256.
4. Anti-spam et anti-faux avis
- Modération automatisée IA (modèle Claude / Anthropic) appliquée à chaque avis et chaque description — détection spam / insulte / hors-sujet (cf. charte de modération) ;
- Inscription obligatoire avec email vérifié pour déposer un avis ;
- Détection des comportements anormaux : rythme de soumission, similarité du texte avec d’autres avis, adresses IP en chaîne — ces signaux sont uniquement utilisés en interne pour la modération, jamais publiés ;
- Captcha invisible — Promastro utilise une méthode de détection bot non intrusive, sans dépôt de cookie tiers ;
- Honeypot sur les formulaires d’inscription et de contact pour bloquer les robots les plus simples.
5. Anti-usurpation d’identité
- Vérification email à l’inscription (lien de confirmation) ;
- Politique de mot de passe forte imposée : minimum 10 caractères, majuscule, minuscule, chiffre, caractère spécial ;
- Hash bcrypt des mots de passe — irréversible ;
- 2FA (authentification à deux facteurs) obligatoire pour les comptes administrateur ;
- Notification email en cas de connexion depuis un nouvel appareil ou navigateur (sur consentement implicite — utilisateurs Pro) ;
- Blocage automatique après 5 tentatives de connexion échouées (15 minutes).
6. Protection contre les attaques web (OWASP)
Promastro applique les bonnes pratiques de sécurité web couvrant le Top 10 OWASP :
- Échappement systématique des sorties (anti-XSS) ;
- Requêtes paramétrées
$wpdb->prepare()(anti-injection SQL) ; - Validation des nonces sur toutes les actions sensibles (anti-CSRF) ;
- Cookies
HttpOnly+SameSite=Lax+Securesur HTTPS ; - Politique de sécurité de contenu (CSP) côté Nginx ;
- Vérification stricte du webhook secret Mollie (5 étapes : signature, format ID, idempotence, cohérence montant, cohérence utilisateur) ;
- Permissions UNIX restreintes sur les fichiers sensibles (
wp-config.phpen 640) ; - Désactivation de l’édition de fichiers depuis l’admin (
DISALLOW_FILE_EDIT) ; - Désactivation de
xmlrpc.php; - Suppression de
readme.htmletlicense.txtdu webroot.
7. Surveillance et logs
- Journalisation des accès administrateur (rétention 30 jours) ;
- Journalisation des erreurs serveur (rétention 30 jours) ;
- Journalisation des webhooks Mollie (audit paiement) ;
- Journalisation des appels à l’API Claude (audit coûts + modération) — sans contenu des requêtes au-delà de 7 jours.
Aucun log ne contient d’adresse IP en clair ni de mot de passe.
8. Comportement en cas d’incident de sécurité
En cas d’incident de sécurité affectant des données personnelles, Promastro applique la procédure suivante :
- Endiguement immédiat (revocation des accès compromis, rotation des secrets, isolation des comptes affectés) ;
- Analyse sous 24 heures : nature, étendue, gravité, nombre de personnes concernées ;
- Notification APD sous 72 heures (art. 33 RGPD) si un risque pour les droits et libertés est avéré ;
- Notification des personnes concernées sans délai injustifié si le risque est élevé (art. 34 RGPD), avec description claire de la nature de la violation, des mesures prises et des recommandations pour vous protéger ;
- Inscription au registre interne des violations (art. 33.5 RGPD) ;
- Retour d’expérience documenté et mesures correctives.
9. Vous avez été bloqué par erreur ?
Si vous estimez avoir été injustement bloqué par un de nos systèmes anti-abus (rate limit, modération IA, captcha), vous pouvez :
- Patienter (la plupart des limites se réinitialisent automatiquement après quelques heures) ;
- Nous écrire à contact@promastro.be en précisant : la nature du blocage, l’horodatage approximatif, votre identifiant de compte si applicable. Un opérateur humain examinera votre demande sous 7 jours ouvrés.
Aucun blocage n’est définitif sans intervention humaine ; vous avez toujours la possibilité de demander un ré-examen.
10. Signaler un abus
Si vous constatez un comportement abusif sur le Site (faux Pro, faux avis organisé, harcèlement, contenu illicite), signalez-le :
- Via le bouton « Signaler » présent sur chaque fiche et chaque avis ;
- Par email à contact@promastro.be avec capture d’écran et URL.
Tout signalement est traité dans la confidentialité. L’identité du signalant n’est jamais communiquée à la personne signalée, sauf obligation légale.
11. Contact
Pour toute question relative à la sécurité du Site ou à un blocage : contact@promastro.be.
Pour toute question RGPD : rgpd@promastro.be.
