# Audit de sécurité - ihm_client

Ce document synthétise la posture de sécurité, les contrôles, et les axes d’audit pour `ihm_client`.

## Portée
- Surface frontend (TypeScript, Vite, dépendances npm)
- Intégration WASM (sdk_client)
- Messagerie iframe (`postMessage`) avec sites hôtes

## Contrôles actuels
- Validation et renouvellement de tokens de session liés à l’origine appelante
- Isolation des données privées (déchiffrement conditionné, clés requises)
- Aucune exposition de secrets runtime dans le code

## Axes d’audit
- Dépendances: revue `npm audit`, vérification des transitive deps
- WASM: taille, init sécurisé, absence d’APIs dangereuses
- Iframe: vérification stricte des `origin`, absence d’élévation via messages

## Vulnérabilités connues
- Aucune critique ouverte à date

## Plan de remédiation
- Mise à jour régulière des dépendances
- Tests de sécurité ciblés côté messagerie et décodage de données