Retour au blog
Firebasetechniquevulnérabilités

Firebase Firestore : pourquoi 'allow read, write: if request.auth != null' n'est pas une sécurité

Publié le 2026-03-256 min de lectureCleanIssue

> En bref : La règle d'authentification basique de Firestore ne protège pas vos données. Voici pourquoi et comment corriger.

Le faux sentiment de sécurité

La règle allow read, write: if request.auth != null est la configuration Firestore la plus courante. Elle semble sécurisée : seuls les utilisateurs authentifiés ont accès. En réalité, elle permet à N'IMPORTE QUEL utilisateur authentifié de lire et modifier les données de TOUS les autres.

Le problème concret

Un utilisateur A se connecte. Il peut lire les documents de l'utilisateur B, modifier ses données, supprimer son compte. Parce que la règle vérifie seulement "est-ce que quelqu'un est connecté" : pas "est-ce le bon propriétaire".

La correction

Remplacez par : allow read, write: if request.auth.uid == resource.data.userId : vérifie que l'utilisateur connecté est bien le propriétaire du document.

Supabase vs Firebase sur ce point

Supabase utilise des politiques RLS au niveau PostgreSQL : plus granulaires mais avec leurs propres pièges (voir notre article sur les 5 erreurs Supabase RLS).

Ce que nous trouvons en audit

Sur les applications Firebase que nous auditons, 70% utilisent cette règle basique. Résultat : accès cross-utilisateur total pour tout utilisateur authentifié.

À retenir

  • Les règles Firestore par défaut sont permissives — auditez-les avant chaque déploiement.
  • Vérifiez que les Cloud Functions valident les permissions côté serveur, pas seulement côté client.
  • Les buckets Storage ont leurs propres règles de sécurité, indépendantes de Firestore.
  • Vous éditez un logiciel RH, paie ou recrutement ? CleanIssue réalise des audits de sécurité pour SaaS RH en conditions réelles, sans accès au code. Pour une première lecture de votre exposition, commencez par une revue externe de votre application.

    Besoin d'une revue externe de votre SaaS RH ?

    Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

    Parler de votre audit