Analyse d’une app de streaming et sa db Supabase mal sécurisée : enchaînement de broken access control, exposition de données et logique métier cassée

Salut à tous,

Je voulais partager un retour d’analyse sur une plateforme de streaming basée sur Supabase, parce que le cas est franchement intéressant d’un point de vue défensif.

On ne parle pas ici d’une faille “exotique”, ni d’un bug ultra pointu qu’on voit une fois tous les dix ans.
Au contraire. C’est presque pire que ça.

On est sur un cas très parlant de ce qui arrive quand une app moderne donne l’impression d’être structurée côté interface, alors qu’en réalité le backend ne fait pas respecter le modèle de permissions.

Et c’est justement ça qui m’a marqué :
visuellement, fonctionnellement, l’application semblait avoir une séparation logique entre les utilisateurs, les admins, les contenus, les abonnements, les réglages système. Mais dès qu’on regarde la surface d’attaque côté API, on comprend vite que cette séparation existe surtout dans le frontend… pas dans les contrôles réels.