Aller au contenu

PD-101 — Rapport de confrontation v2 (Étape 3)

Ce rapport est produit par l'orchestrateur Claude (P2 — CONFRONTEUR) avant la gate PMO 3 v2. Il confronte la spécification et les tests pour identifier convergences, divergences et zones d'ombre. Mode factuel : analyse rigoureuse, pas de spéculation.

1. Sources confrontées

  • Spécification : PD-101-specification.md (étape 1, version corrigée post-v1)
  • Tests : PD-101-tests.md (étape 2, version corrigée post-v1)
  • Confrontation v1 : PD-101-confrontation-step3.md (référence des écarts signalés en v1)
  • Verdict v1 : PD-101-verdict-step3-v1.yaml (NON_CONFORME, score 6.5, testability 5.5)

2. Convergences

  • CON-01 : Les 10 invariants (INV-01 à INV-10) sont intégralement couverts par la matrice de couverture des tests (§2). Chaque invariant possède un test dédié TC-INV-XX avec scénario GIVEN/WHEN/THEN complet. Correction v1 : DIV-03 de la v1 (scénarios d'invariants sans GIVEN/WHEN/THEN) est résolu — les 10 TC-INV ont désormais des scénarios détaillés et exécutables (tests §5).

  • CON-02 : Les 14 critères d'acceptation (CA-01 à CA-14) sont tous référencés dans la matrice de couverture. Aucun CA orphelin. La spec a ajouté CA-13 (envelope encryption) et CA-14 (no sensitive logs) qui sont couverts par TC-INV-08 et TC-INV-10 respectivement.

  • CON-03 : Les 12 scénarios de test de la spec (ST-01 à ST-12) ont chacun un équivalent dans les tests. Mapping vérifié :

  • ST-01 → TC-NOM-01, ST-02 → TC-NOM-02, ST-03 → TC-ERR-07, ST-04 → TC-ERR-03
  • ST-05 → TC-NOM-03, ST-06 → TC-NOM-04, ST-07 → TC-NOM-06, ST-08 → TC-ERR-01

  • ST-09 → TC-NOM-08, ST-10 → TC-NOM-07, ST-11 → TC-ERR-08, ST-12 → TC-NOM-01 + TC-INV-06 + TC-NR-06

  • CON-04 : Les paramètres numériques contractuels (seuil 10 MB SI base 10, retry max 3, backoff ½/4, jitter, taille max 500 MB, chunk [5,50] MB) sont cohérents entre spec §5.5 et tests (TC-NOM-02, TC-ERR-03, TC-ERR-01, TC-NR-01, TC-NR-04).

  • CON-05 : La table de transitions d'états (spec §5.7) est reflétée fidèlement dans TC-INV-09. Les états terminaux (COMPLETED, CANCELLED UI et CANCELLED backend) sont testés comme sans transition sortante. La transition FAILED → UPLOADING crée un nouveau flux (nouveau doc_id) conformément à §5.4, testé par TC-NOM-08.

  • CON-06 : Les 6 points à clarifier de la spec (Q-01 à Q-06) sont repris intégralement dans les tests §9 « Règles non testables » avec criticité cohérente (5 Majeur, 1 Mineur).

  • CON-07 : Le modèle de formats et contraintes de données (spec §3.2) est couvert par les tests négatifs TC-NEG-01 à TC-NEG-06, qui vérifient le rejet 400 pour chaque champ invalide. La table §3.2 est la source unique référencée.

  • CON-08 : La continuité background (spec flux 5.3) est couverte par TC-NOM-05 et TC-ERR-05 avec unicité de notification et cohérence d'état au retour foreground.

  • CON-09 : Le mécanisme purgeStale() (INV-07, spec §5.1 étape 7, ST-07) est couvert par TC-NOM-06, TC-INV-07 et TC-NR-05 avec vérification au démarrage du flux. La distinction purge disque (stricte) vs purge RAM (best-effort Hermes, H-06) est explicitement documentée dans les deux documents.

  • CON-10 : Le mode capture optimisée (spec §5.2) est couvert par TC-NOM-03 et TC-INV-04. Le format de preuve de consentement §3.4 est explicitement vérifié dans les deux tests. L'interdiction de réversion vers mode fidèle est testée.

  • CON-11 : Le disclaimer EXIF (spec §5.1 étape 5, ST-10) est couvert par TC-NOM-07. Correction v1 : DIV-02 de la v1 (disclaimer EXIF non testé) est résolu.

  • CON-12 : Le retry après FAILED (spec §5.4, ST-09) est couvert par TC-NOM-08 avec nouveau doc_id, nouveau nonce, ancien enregistrement inchangé. Correction v1 : ZO-05 de la v1 (reprise après FAILED non spécifiée) est résolu.

  • CON-13 : La validation fonctionnelle du hash (INV-05, spec §5.1 étape 7) est explicitement décrite : recalcul sur le plaintext conservé en mémoire, comparaison avec le hash de l'étape 6, abort si divergence (ERR-02). TC-INV-05 simule une corruption 1 bit et vérifie la détection. Correction v1 : ZO-08 de la v1 (point de vérification non précisé) est résolu.

  • CON-14 : La race condition READY → CANCELLED vs READY → PENDING_SEAL (spec §5.7 note, ST-11) est couverte par TC-ERR-08 avec vérification d'atomicité UPDATE WHERE et des deux cas de résolution.

  • CON-15 : Le chiffrement FILE-LEVEL (spec §3.3) est testé de manière croisée : TC-INV-02 (ordre chiffrement → upload), TC-INV-06 (un seul nonce par fichier), TC-NR-06 (non-régression chunk-level), TC-NEG-11 (rejet chiffrement chunk-level).

  • CON-16 : Les erreurs HTTP 4xx non retryable (spec ERR-06) sont couvertes par TC-ERR-06 avec vérification d'absence de retry, passage immédiat à FAILED, et message explicite mappé au code HTTP. Correction v1 : DIV-01 de la v1 (TC-ERR-06 manquant) est résolu.

3. Divergences

Les conflits ne doivent JAMAIS être lissés. Chaque divergence est rendue visible.

  • DIV-01 : Exigences d'audit ajoutées par les tests sans contractualisation dans la spec
  • Source A (Spécification) : Aucune section ne définit quels événements doivent être journalisés dans le journal d'audit. Le terme « journal d'audit » n'apparaît que dans INV-10 (interdiction de logs sensibles) et dans le format de preuve §3.4 (consentement optimisé « enregistré dans le journal d'audit »).
  • Source B (Tests) : Quatre scénarios ajoutent des exigences d'audit non contractualisées dans la spec :
    • TC-NOM-04 AND : « Le choix utilisateur (continuer/changer de source) est journalisé dans le journal d'audit »
    • TC-NOM-06 AND : « Les artefacts obsolètes sur disque sont supprimés et tracés dans le journal d'audit »
    • TC-NOM-07 AND : « La confirmation EXIF est journalisée dans le journal d'audit »
    • TC-ERR-04 AND : « Le motif de validation est traçable dans le journal d'audit »

  • Impact : Les tests imposent des observables d'audit que la spec ne requiert pas. Si le code n'implémente pas ces traces d'audit, les tests échoueront alors que la spec est respectée. La spec est la source de vérité — soit elle doit contractualiser ces exigences d'audit, soit les tests doivent les retirer.

  • DIV-02 : Annulation d'un upload simple non testée

  • Source A (Spécification ERR-07) : « Stop client, abort multipart si initié (best-effort), backend CANCELLED ». L'annulation couvre les deux modes (simple et multipart). Le « si initié » conditionnel implique que pour un upload simple, il n'y a pas d'AbortMultipartUpload.
  • Source B (Tests TC-ERR-07) : GIVEN « Upload multipart en cours avec parts actives ». Seul le cas multipart est testé.

  • Impact : Le flux d'annulation d'un upload simple (< 10 MB) n'a pas de couverture de test dédiée. Le comportement attendu côté S3 diffère (pas d'AbortMultipartUpload, mais l'objet déjà uploadé doit-il être supprimé ?). Criticité : mineur — le mécanisme backend CANCELLED est commun.

  • DIV-03 : Taille de chunk multipart — bornes non testées

  • Source A (Spécification §5.5) : « Taille chunk multipart : 5 MB défaut, [5, 50] MB range, Clamp [5,50] puis upload ».
  • Source B (Tests) : Aucun scénario ne vérifie le comportement aux bornes (chunk de 5 MB, 50 MB, clamp à 4 MB ou 51 MB).

  • Impact : Mineur — le clamp est un mécanisme de robustesse. Mais l'absence de test pourrait permettre une régression silencieuse.

  • DIV-04 : Protocole de mesure de performance non spécifié

  • Source A (Spécification §5.5) : « Upload perf cible 100 MB <= 30 s P95, WiFi stable, device de référence iPhone 12/A14. Alerte perf (non blocant métier). »
  • Source B (Tests TC-NR-03) : « Performance 100 MB P95 <= 30 s (WiFi iPhone 12/A14). Rapport campagne P95. » Sans préciser : nombre de runs, warm-up, exclusion outliers, débit WiFi minimum, latence.
  • Impact : Mineur (non blocant métier par la spec). Mais le test est non reproductible sans protocole documenté.

4. Zones d'ombre

  • ZO-01 : Génération du doc_id — La spec (§5.1 étape 2) dit « génère doc_id » sans préciser si le client mobile ou le backend le génère. Si le client génère : risque de collision ou de spoofing. Si le backend génère : le flux d'initialisation (étape 8) doit le retourner. Les tests valident le format (TC-NEG-01) mais pas l'origine.

  • ZO-02 : Concurrence de flux — Ni la spec ni les tests ne précisent le comportement si l'utilisateur lance un second upload pendant qu'un premier est en cours. Sérialisation ? Parallélisme ? File d'attente ?

  • ZO-03 : Source de randomness du nonce — La spec (§3.3) dit « génère un nonce unique de 12 bytes » sans spécifier CSPRNG. INV-06 exige l'unicité par doc_id, mais l'unicité statistique n'est garantie que par CSPRNG. TC-INV-06 teste l'absence de collision sur 100 dépôts mais ne vérifie pas la source de génération. Étant donné la règle projet crypto.randomUUID() obligatoire pour tout identifiant, la question se pose pour le nonce AES-GCM.

  • ZO-04 : Comportement réseau en background iOS — La spec (flux 5.3) affirme que l'upload continue en arrière-plan. iOS impose des contraintes strictes sur les tâches réseau en background (URLSession background configuration, 30 s de grâce en React Native). Ni la spec ni les tests ne précisent le mécanisme technique ni les limites de la continuité background (H-01 mentionne Expo SDK 54 + React Native mais pas la stratégie background).

  • ZO-05 : Objet S3 uploadé puis annulé (upload simple) — En cas d'annulation post-upload simple réussi mais pré-finalisation backend, l'objet S3 est déjà complet. La spec ne précise pas si l'objet doit être supprimé de S3 ou s'il reste orphelin. Le job de réconciliation (§5.9) ne couvre que les uploads multipart incomplets.

  • ZO-06 : Transition PENDING → CANCELLED backend — Spec §5.7 autorise cette transition mais ne précise pas le déclencheur. Est-ce l'annulation client avant le premier upload ? Avant la finalisation ? Les tests TC-ERR-07 et TC-ERR-08 couvrent les cas UPLOADING → CANCELLED (UI) et READY → CANCELLED (backend) mais pas PENDING → CANCELLED.

5. Bilan corrections v1

Écart v1 Statut v2 Vérification
DIV-01 (TC-ERR-06 manquant) Résolu TC-ERR-06 présent avec GIVEN/WHEN/THEN complet
DIV-02 (Disclaimer EXIF non testé) Résolu TC-NOM-07 + ST-10 couvrent le disclaimer
DIV-03 (Invariants sans GIVEN/WHEN/THEN) Résolu 10 TC-INV avec scénarios complets et exécutables
DIV-04 (Worker réconciliation non testé) Accepté Hors scope story mobile (worker backend)
DIV-05 (Protocole perf incomplet) Persistant Repris comme DIV-04 v2 (mineur, non blocant métier)
ZO-01 (Génération doc_id) Persistant Repris comme ZO-01 v2
ZO-02 (Chunk size bounds) Persistant Repris comme DIV-03 v2 (mineur)
ZO-03 (Hash point de calcul) Résolu Spec §5.1 étape 7 explicite (plaintext en mémoire)
ZO-04 (Background iOS) Persistant Repris comme ZO-04 v2
ZO-05 (Reprise après FAILED) Résolu Spec §5.4 + TC-NOM-08 + ST-09
ZO-06 (Annulation upload simple) Persistant Repris comme DIV-02 v2 (mineur)
ZO-07 (Concurrence de flux) Persistant Repris comme ZO-02 v2
ZO-08 (Validation fonctionnelle hash) Résolu Spec §5.1 étape 7 + TC-INV-05

Score de résolution : 7 écarts résolus sur 13 signalés en v1. Les 6 persistants sont mineurs ou hors scope.

6. Recommandation

  • Procéder — convergence confirmée, divergences résiduelles mineures
  • Rework nécessaire — divergences à résoudre avant de continuer
  • Escalade — décision humaine requise sur un point structurant

Justification : Les 5 écarts bloquants de la v1 (DIV-01, DIV-02, DIV-03, ZO-05, ZO-08) sont tous résolus. La couverture est solide : 10/10 invariants testés avec scénarios exécutables, 14/14 CA dans la matrice, 12/12 ST mappés. Les divergences résiduelles (DIV-01 audit non contractualisé, DIV-02 à DIV-04 couverture mineure) et les zones d'ombre (ZO-01 à ZO-06) sont des points d'amélioration qui n'obstruent pas la conformité spec/tests. La DIV-01 (exigences d'audit ajoutées par les tests) mérite clarification mais n'est pas bloquante : il s'agit d'un enrichissement raisonnable que la spec pourrait intégrer.