Audit Firebase

Votre backend Firebase.
Pas un simple if request.auth.

Le faux sentiment de sécurité sur Firebase vient souvent d'une règle qui a l'air logique mais qui laisse tout utilisateur authentifié lire ou modifier les données des autres. Cet audit vérifie les règles Firestore, Storage, Functions et les parcours Auth dans leur contexte réel.

Ce que nous vérifions

Firestore Security Rules

Règles lecture/écriture, séparation par utilisateur ou organisation, contrôle des collections sensibles et logique de propriété réelle.

Firebase Storage

Documents, images, exports et pièces jointes accessibles sans le bon niveau d'authentification ou avec des URLs trop permissives.

Auth et rôle applicatif

Dépendance excessive au front, custom claims, logique admin, vérification de sessions et confiance accordée au client.

Cloud Functions et webhooks

Fonctions HTTP ou callables trop confiantes, absence de validation sérieuse et routes déclenchables depuis l'extérieur.

Ce que nous trouvons souvent

allow read, write: if request.auth != null

La règle la plus répandue, et l'une des plus dangereuses : n'importe quel utilisateur connecté accède aux données de n'importe quel autre.

Storage moins protégé que Firestore

Les règles Firestore sont parfois revues, mais les buckets de fichiers restent ouverts ou beaucoup trop larges.

Fonctions qui font confiance au client

Une Cloud Function reçoit un userId, un rôle ou un montant envoyé par le front sans revérifier sérieusement côté serveur.

Sécurité d'identité dissociée de la donnée

Le login fonctionne, mais l'isolation entre utilisateurs, équipes ou clients n'est pas réellement appliquée sur les données.

Idéal pour

  • Applications mobiles ou web branchées sur Firestore et Firebase Storage
  • Produits lancés vite avec une logique Auth correcte mais des règles sur les données peu revues
  • Portails clients, espaces membres, applis RH, plateformes e-learning ou places de marché
  • Équipes qui veulent vérifier l'isolation entre utilisateurs avant qu'un client ne le fasse à leur place

Lectures et pages associées

Pourquoi request.auth != null ne suffit pas

Le cas le plus classique de mauvaise règle Firestore.

Supabase vs Firebase

Comparer les modèles de sécurité des deux stacks backend les plus répandus.

Audit API et webhooks

Pertinent si vos fonctions Firebase exposent aussi des routes HTTP ou des callbacks temps réel.

Audit Complet

Pour documenter toutes les expositions applicatives au-delà de Firebase seul.

FAQ

Besoin d'une revue externe de votre SaaS RH ?

Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

Parler de votre audit