Vos policies Supabase.
Pas vos intentions.
Supabase accélère énormément la mise en production. Il accélère aussi les erreurs de contrôle d'accès quand RLS, Storage, RPC et service_role ne sont pas revus sérieusement. Cet audit vérifie ce qui est réellement exposé dans votre stack Supabase depuis l'extérieur.
Ce que nous vérifions
Policies RLS table par table
Lecture, insertion, mise à jour, suppression, isolation par tenant, permissions admin et cohérence entre les tables sensibles.
Supabase Storage
Buckets publics, fichiers accessibles par URL directe, URLs signées trop larges, chemins prédictibles et documents sensibles exposés.
Clés et rôles sensibles
Présence de service_role, de tokens trop puissants ou de logique admin déportée côté client.
RPC, Edge Functions et automatisations
Fonctions qui contournent la logique RLS, webhooks reliés à Supabase et traitements techniques capables de modifier des données sans garde-fous suffisants.
Ce que nous trouvons souvent
RLS présent mais incomplet
Le SELECT est protégé, mais pas UPDATE ou DELETE. Résultat : un utilisateur peu privilégié peut encore modifier ou supprimer des données qu'il ne devrait même pas toucher.
Buckets ou URLs trop permissifs
Contrats, pièces jointes, exports ou documents RH accessibles par URL directe, parfois sans authentification réelle.
Actions admin exposées via le front
Création de comptes, changements de rôles ou automatisations déclenchées par des routes d'API visibles dans le JavaScript public.
RPC qui percent l'isolation
Fonctions SQL ou Edge Functions capables de lire ou modifier des données au-delà du tenant ou du rôle attendu.
Idéal pour
- SaaS, portails clients et applis internes construits sur Supabase Auth et PostgreSQL
- Équipes qui ont livré vite avec Lovable, Bolt, Cursor ou un prototype devenu produit
- Applications déjà en production sans revue complète des policies RLS
- Stacks qui stockent des données RH, financières, de santé ou des documents clients
Lectures et pages associées
Supabase RLS : 5 erreurs courantes
Le post qui résume les patterns les plus fréquents vus sur Supabase.
PostgreSQL et CVE-2018-1058
Pourquoi la modélisation des privilèges et du search_path compte autant que le réseau.
Supabase vs Firebase
Comparer les angles morts sécurité des deux stacks backend les plus courants.
Audit Complet
Le bon format si vous voulez documenter toutes les vulnérabilités Supabase et les corriger proprement.