PD-287 — Partage de preuve sans compte par lien PRE, OTP et traçabilité probatoire¶

1. Objectif¶

La User Story PD-287 DOIT permettre à un propriétaire de preuve de déléguer à un tiers externe un droit de lecture temporaire, sans création de compte persistant, via un lien sécurisé activé par OTP email, en préservant strictement les invariants zero-knowledge et WORM, avec révocation, expiration, traçabilité probatoire append-only, et export autonome vérifiable optionnel (nice-to-have).

2. Périmètre / Hors périmètre¶

Inclus¶

• Création d’un lien de partage pour une preuve unique.
• Activation du lien par OTP email.
• Identité cryptographique éphémère par lien.
• Délégation cryptographique via PRE (pas de partage de clé propriétaire).
• Consultation en lecture seule du document + éléments probatoires (hash, Merkle, TSA, ancrage blockchain, métadonnées).
• Révocation manuelle par le propriétaire.
• Expiration automatique par TTL.
• Journal d’accès append-only, scellé et ancré.
• Liste des liens actifs et historique d’accès par lien côté propriétaire.
• Export composite autonome au format ZIP (optionnel MVP, activable).
• Quotas et protections anti-abus.
• UX anti-phishing minimale.
• Avertissement explicite “pas de DRM”.

Exclu¶

• Création de compte destinataire.
• Partage entre deux comptes ProbatioVault.
• Modification/annotation/signature de la preuve par destinataire.
• Re-partage par le destinataire.
• Révocation rétroactive d’un accès passé.
• Duplication ou mutation du document WORM original.
• Consultation hors-ligne.
• Lien multi-preuves.
• Révocation partielle (consultation vs export).
• Garantie forte de preuve d’absence d’accès (heartbeats signés) : hors périmètre MVP.
• Décision judiciaire finale d’admissibilité d’une preuve : hors périmètre (non testable en environnement technique).

3. Définitions¶

4. Invariants (non négociables)¶

Note de traçabilité : - INV-287-14 est retiré du corpus des invariants non négociables. - L’export ZIP est conservé en fonctionnalité optionnelle documentée (Q-287-06).

5. Flux nominaux¶

5.1 Modèle de données contractuel (source unique des formats)¶

Référencement unique : toutes les sections suivantes référencent D-287-* sans redéfinition de format.

5.2 Bornes numériques contractuelles¶

Charge nominale contractuelle pour les mesures P95 de cette story : - 1 lien actif, 10 RPS, environnement staging mono-instance.

Justification sécurité : - otp_max_attempts_per_session=5 est fixé (non configurable MVP), justifié par INV-287-04 et la contrainte anti-bruteforce. - Les réponses 429 sont réservées aux conditions de rate-limit/anti-abus, sans fuite d’existence de ressource.

5.3 SLA temporels (transitions d’état)¶

Aucune autre transition temporelle identifiée.

5.4 Flux nominaux contractuels¶

1. F-287-01 — Création du lien
2. Entrées valides: D-287-01, D-287-03, D-287-07, D-287-25.
3. Contrôles: ownership preuve, quotas, bornes TTL.
4. Sorties contractuelles: D-287-04, D-287-05, D-287-06=PENDING_ACTIVATION, D-287-09, artefacts D-287-15..D-287-18.

5. Journalisation obligatoire D-287-23=LINK_CREATED (append synchrone, hash-chain).

6. F-287-02 — Activation destinataire OTP

7. Ouverture lien: envoi OTP au D-287-03.
8. Vérification OTP: D-287-11, compteur session D-287-12, blocage via D-287-13 si seuil session atteint.
9. Compteur cumulé par lien D-287-31: au seuil 50, transition définitive vers REVOKED, notification propriétaire.
10. Succès: transition PENDING_ACTIVATION|OTP_BLOCKED -> ACTIVE, session D-287-14.
11. Journalisation obligatoire LINK_ACTIVATED en succès, LINK_REVOKED en verrouillage définitif anti-abus.

12. Réponses destinataire: 404 générique (cas invalides), 429 uniquement pour rate-limit/anti-abus.

13. F-287-03 — Consultation de la preuve

14. Préconditions: état ACTIVE, session valide.
15. Données restituées: document chiffré + D-287-30, D-287-19, D-287-20, D-287-21, D-287-22.
16. Aucun contenu clair serveur exposé.

17. Journalisation obligatoire LINK_VIEWED, synchrone et bloquante avant réponse.

18. F-287-04 — Export composite autonome (optionnel, nice-to-have)

19. Préconditions: état ACTIVE, session valide, feature export_zip_enabled=true.
20. Production ZIP: manifeste D-287-26, signature plateforme D-287-34, certificat plateforme D-287-35, hash ZIP D-287-27, artefacts probatoires + sous-ensemble de journal lié au lien.
21. Vérification offline: hash + signature manifeste vérifiables sans API ProbatioVault.
22. Journalisation obligatoire LINK_EXPORTED.

23. Si export_zip_enabled=false: endpoint destinataire retourne 404 générique (pas de différenciation de capability).

24. F-287-05 — Révocation propriétaire

25. Préconditions: owner authentifié.
26. Transitions autorisées: PENDING_ACTIVATION|ACTIVE|OTP_BLOCKED -> REVOKED.
27. Effets: invalidation sessions immédiate, interdiction accès futurs.

28. Journalisation obligatoire LINK_REVOKED.

29. F-287-06 — Expiration TTL

30. Déclenchement: now_utc >= D-287-09.
31. Transitions autorisées: PENDING_ACTIVATION|ACTIVE|OTP_BLOCKED -> EXPIRED.
32. Effets: invalidation sessions, invalidation droits PRE, purge artefacts temporaires.

33. Journalisation obligatoire LINK_EXPIRED.

34. F-287-07 — Consultation propriétaire des liens/accès

35. Le propriétaire DOIT pouvoir lister ses liens actifs et événements par lien.
36. Aucune agrégation transverse inter-propriétaires sur destinataires.
37. Données minimisées RGPD (pas de profil global destinataire).
38. Avertissements UI: “pas de DRM” (affiché une seule fois puis mémorisé) et “révocation = accès futurs seulement”.

5.5 Machine d’états (transitions retour explicites)¶

États: PENDING_ACTIVATION, ACTIVE, OTP_BLOCKED, REVOKED (terminal), EXPIRED (terminal).

État PENDING_ACTIVATION¶

État ACTIVE¶

État OTP_BLOCKED¶

État REVOKED (terminal)¶

État EXPIRED (terminal)¶

Comportement downgrade/retour : - ACTIVE -> OTP_BLOCKED: accès suspendu, données existantes conservées, quotas/rate-limits maintenus. - OTP_BLOCKED -> ACTIVE: accès restauré après contrainte temporelle et OTP valide. - PENDING_ACTIVATION|ACTIVE|OTP_BLOCKED -> REVOKED|EXPIRED: fonctionnalités verrouillées immédiatement, sessions invalidées, artefacts temporaires purgés, journal conservé. - PENDING_ACTIVATION|ACTIVE|OTP_BLOCKED -> REVOKED via seuil OTP cumulé (D-287-31>=50): verrouillage définitif anti-abus + notification propriétaire. - Toute transition inverse non listée est interdite.

Checklist machine à états : - [x] Chaque état liste ses transitions sortantes (autorisées/interdites). - [x] États terminaux explicitent -> * : INTERDITE. - [x] Invariants dédiés couvrent le modèle (INV-287-06 à INV-287-10).

5.6 Mécanismes de protection distribuée¶

Checklist protection distribuée : - [x] Lock: scope + TTL + comportement lock non acquis. - [x] Idempotence: clé + durée de déduplication + garde-fou hors fenêtre. - [x] Réconciliation: intervalle + seuil orphelin + rattrapage. - [x] Rate-limit: granularité + quota + dépassement. - [x] Clearing: cycles conformes + comptage.

5.7 Atomicité multi-composant (DB + audit synchrone + async non bloquant)¶

5.8 Contraintes inter-modules¶

5.9 Stratégie de migration DDL (colonne existante)¶

Aucune modification de colonne existante n’est identifiée dans le besoin PD-287.

5.10 Invariant crypto additionnel¶

• INV-287-16 est obligatoire sur tout artefact PRE/clé/certificat/session/capsule secret.
• Secret en clair en base: interdit.
• Persistance chiffrée: obligatoire.

5.11 Politique de rétention¶

Règles d’exécution: - Job de purge planifié quotidien + purge opportuniste en entrée d’état terminal. - Toute purge DOIT être traçable par événement technique non destructif (métadonnée de purge), sans supprimer l’historique d’audit probatoire. - Cette section rend INV-287-15 testable contractuellement.

5bis. Diagrammes (si applicable)¶

Diagramme d’état (>= 3 états)¶

stateDiagram-v2
    [*] --> PENDING_ACTIVATION

    PENDING_ACTIVATION --> ACTIVE: OTP valide
    PENDING_ACTIVATION --> OTP_BLOCKED: 5 OTP invalides/session
    PENDING_ACTIVATION --> REVOKED: revoke owner ou seuil OTP cumule atteint
    PENDING_ACTIVATION --> EXPIRED: TTL atteint

    ACTIVE --> OTP_BLOCKED: echec OTP reauth
    ACTIVE --> REVOKED: revoke owner ou seuil OTP cumule atteint
    ACTIVE --> EXPIRED: TTL atteint

    OTP_BLOCKED --> ACTIVE: cooldown expire + OTP valide
    OTP_BLOCKED --> REVOKED: revoke owner ou seuil OTP cumule atteint
    OTP_BLOCKED --> EXPIRED: TTL atteint

    note right of PENDING_ACTIVATION
      Transitions no-op interdites
      (ex: PENDING_ACTIVATION->PENDING_ACTIVATION)
    end note

    note right of ACTIVE
      Retour arriere vers PENDING_ACTIVATION interdit
    end note

    note right of OTP_BLOCKED
      No-op OTP_BLOCKED->OTP_BLOCKED interdit
    end note

    note right of REVOKED
      Etat terminal: aucune transition sortante
    end note

    note right of EXPIRED
      Etat terminal: aucune transition sortante
    end note

Diagramme de séquence (flow multi-services + crypto)¶

sequenceDiagram
    participant O as OwnerClient
    participant S as SharingAPI
    participant P as ProofService
    participant C as CryptoService
    participant M as OTP-Mail
    participant A as AuditJournal
    participant R as RecipientClient

    O->>S: POST /shares {proof_id, recipient_email, ttl_seconds, idempotency_key}
    S->>P: get_encrypted_proof(proof_id)
    P-->>S: {encrypted_dek_envelope_b64, encrypted_doc_ref, proof_hash_sha256_hex, merkle_proof_json, tsa_token_der_b64, anchor_txid_hex}
    S->>C: PRE_ReKeyGen(owner_key_ref, recipient_ephemeral_pubkey_pem)
    C-->>S: pre_rekey_envelope_b64
    S->>S: token_raw(32 bytes) -> base64url(43 chars)
    S->>A: append_sync(event=LINK_CREATED, prev_hash)
    S-->>O: 201 {share_url_token, state=PENDING_ACTIVATION, expires_at_utc}

    R->>S: GET /sharing/{share_url_token}
    S->>M: send_otp(recipient_email, otp_context=share_link_id)
    M-->>R: otp_code(6 digits)

    R->>S: POST /sharing/{token}/activate {otp_code}
    S->>S: verify_otp_session_and_total()
    alt otp_ok
        S->>A: append_sync(event=LINK_ACTIVATED, prev_hash)
        S-->>R: 200 {recipient_session_id, state=ACTIVE}
    else otp_rate_limited
        S-->>R: 429 generic
    else otp_invalid_or_link_invalid
        S-->>R: 404 generic
    end

    R->>S: GET /sharing/{token}/proof {recipient_session_id}
    alt session_inactive
        S-->>R: 404 generic
        R->>S: POST /sharing/{token}/reauth/request-otp
        S->>M: send_otp(recipient_email, reauth_context)
        R->>S: POST /sharing/{token}/reauth/confirm {otp_code}
        S-->>R: 200 {recipient_session_id, state=ACTIVE}
    else session_active
        S->>C: PRE_ReEncrypt(encrypted_dek_envelope_b64, pre_rekey_envelope_b64)
        C-->>S: recipient_capsule_encrypted_b64
        S->>A: append_sync(event=LINK_VIEWED, prev_hash)
        S-->>R: {encrypted_doc_ref, recipient_capsule_encrypted_b64, proof_hash_sha256_hex, merkle_proof_json, tsa_token_der_b64, anchor_txid_hex}
    end

    opt export_zip_enabled=true
        R->>S: POST /sharing/{token}/export
        S->>S: build_zip(document + proof_artifacts + jcs_manifest + manifest_signature + platform_cert)
        S->>A: append_sync(event=LINK_EXPORTED, prev_hash)
        S-->>R: export_zip + export_zip_sha256_hex
    end

    O->>S: POST /shares/{share_link_id}/revoke
    S->>A: append_sync(event=LINK_REVOKED, prev_hash)
    S-->>O: 204

    R->>S: GET /sharing/{token}/proof
    S-->>R: 404 generic

6. Cas d’erreur¶

7. Critères d’acceptation (testables)¶

8. Scénarios de test (Given / When / Then)¶

1. ST-287-01 Création nominale
2. Given propriétaire authentifié, preuve possédée, quotas OK
3. When création lien avec TTL par défaut

4. Then lien créé en PENDING_ACTIVATION, expiration à J+7, audit LINK_CREATED

5. ST-287-02 TTL hors borne

6. Given propriétaire authentifié
7. When création lien avec ttl_seconds=600

8. Then 400, aucun lien créé

9. ST-287-03 Quota dépassé

10. Given quota preuve atteint sur 24h
11. When nouvelle création de lien

12. Then 429

13. ST-287-04 Activation OTP réussie

14. Given lien PENDING_ACTIVATION valide
15. When OTP correct soumis

16. Then état ACTIVE, session créée, audit LINK_ACTIVATED

17. ST-287-05 OTP échec puis blocage

18. Given lien PENDING_ACTIVATION
19. When 5 OTP erronés sur une session

20. Then état OTP_BLOCKED pendant 15 min

21. ST-287-06 Déblocage OTP

22. Given lien OTP_BLOCKED
23. When 15 min écoulées puis OTP correct

24. Then état ACTIVE

25. ST-287-07 Consultation sans OTP/session

26. Given token lien valide
27. When appel direct consultation sans session valide

28. Then accès refusé en 404 générique

29. ST-287-08 Consultation nominale

30. Given lien ACTIVE + session valide
31. When consultation preuve

32. Then payload chiffré + recipient_capsule_encrypted_b64 + hash/Merkle/TSA/ancrage + audit LINK_VIEWED

33. ST-287-09 Révocation en session active

34. Given lien ACTIVE et destinataire connecté
35. When propriétaire révoque

36. Then requête suivante destinataire refusée (au plus un round-trip), dans SLA P95 2s

37. ST-287-10 Expiration automatique

38. Given lien ACTIVE
39. When now_utc >= expires_at_utc

40. Then transition EXPIRED, accès futurs refusés (404 générique), audit LINK_EXPIRED

41. ST-287-11 Avertissements propriétaire

42. Given propriétaire sur écran de gestion partage
43. When premier affichage puis retour écran

44. Then “pas de DRM” affiché une fois puis mémorisé ; “révocation = accès futurs seulement” affiché

45. ST-287-12 Anti-enumeration

46. Given tokens inconnu, expiré, révoqué, invalide
47. When appel consultation sur chacun

48. Then même enveloppe 404 observable ; 429 uniquement sur dépassement rate-limit

49. ST-287-13 Isolation inter-liens (modèle d’attaque explicite)

50. Given deux liens vers même preuve et destinataires différents
51. When fuite d’une clé éphémère du lien A

52. Then seul le lien A est compromis ; le lien B reste intact/exploitable indépendamment

53. ST-287-14 Journal fail-closed synchrone

54. Given indisponibilité append-only
55. When consultation demandée

56. Then requête rejetée 503, aucun contenu probatoire servi, aucune validation partielle

57. ST-287-15 Réconciliation orphelin

58. Given crash post-commit avant ancrage batch Merkle
59. When worker de réconciliation s’exécute

60. Then ancrage complété, état final cohérent

61. ST-287-16 Non-rétroactivité révocation

62. Given un accès LINK_VIEWED déjà enregistré
63. When révocation ensuite

64. Then entrée historique inchangée, immuable

65. ST-287-17 Re-partage interdit

66. Given destinataire authentifié
67. When tentative de création d’un nouveau lien

68. Then 403

69. ST-287-18 Plafond OTP cumulé

70. Given lien enchaînant des sessions OTP invalides
71. When otp_failed_attempts_total atteint 50

72. Then transition définitive REVOKED, notification propriétaire, accès futurs refusés

73. ST-287-19 Trust-store requis

74. Given trust-store absent/incomplet
75. When vérification certificat éphémère est requise

76. Then 503 fail-closed

77. ST-287-20 Rétention

78. Given lien terminal (REVOKED ou EXPIRED) depuis >90 jours
79. When job de purge est exécuté

80. Then données destinataire supprimées ; journal d’audit conservé si preuve originale conservée

81. ST-287-21 Idempotence hors fenêtre

82. Given requête avec clé idempotence expirée
83. When replay avec payload identique au-delà de la fenêtre
84. Then 409 IDEMPOTENCY_WINDOW_EXPIRED

9. Hypothèses explicites¶

10. Contraintes techniques et points à clarifier¶

10.1 Contraintes techniques (stack projet cible)¶

Contraintes de cadrage: - La présente story cible le backend. - Aucune hypothèse Swift/SwiftUI. - Aucune hypothèse Spring Boot. - CT-287-01 (ex CA-287-29): conformité stack backend obligatoire et vérifiable sur artefacts.

10.2 Points à clarifier¶

Références¶

• Epic : sharing (référence épique détaillée non fournie dans l’entrée)
• JIRA : PD-287
• Repos concernés : ProbatioVault-backend (principal), ProbatioVault-app (owner UI), ProbatioVault-site (portail destinataire), ProbatioVault-doc (référentiel normatif)
• Documents associés : Expression de besoin PD-287 (2026-04-19), contraintes PO Q1..Q20, arbitrages PO ARB-1..ARB-10 ```

PD-287-tests.md ```markdown