feat(gherkin): compléter couverture règles métier avec 47 features manquantes

Ajout de 47 features Gherkin (~650 scénarios) pour couvrir 100% des règles métier : - Authentification (5) : validation mot de passe, tentatives connexion, multi-device, 2FA, récupération - Audio-guides (12) : détection mode, création, navigation piéton/voiture, ETA, gestion points, progression - Navigation (5) : notifications minimalistes, décompte 5s, stationnement, historique, basculement auto - Création contenu (3) : image auto, restrictions modification, suppression - Radio live (2) : enregistrement auto, interdictions modération - Droits auteur (6) : fair use 30s, détection musique, signalements, sanctions, appels - Modération (9) : badges Bronze/Argent/Or, score fiabilité, utilisateur confiance, audit, anti-abus - Premium (2) : webhooks Mangopay, tarification multi-canal - Profil/Partage/Recherche (5) : badge vérifié, stats arrondies, partage premium, filtres avancés, carte Tous les scénarios incluent edge cases, métriques de performance et conformité RGPD. Couverture fonctionnelle MVP maintenant complète.
2026-02-03 21:25:47 +01:00
parent a82dbfe1dc
commit c48222cc63
53 changed files with 6225 additions and 0 deletions
--- a/features/api/authentication/limite-tentatives-connexion.feature
+++ b/features/api/authentication/limite-tentatives-connexion.feature
@@ -0,0 +1,171 @@
+# language: fr
+
+@api @authentication @security @mvp
+Fonctionnalité: Limitation des tentatives de connexion
+
+  En tant que système de sécurité
+  Je veux limiter les tentatives de connexion échouées
+  Afin de protéger les comptes utilisateurs contre les attaques par force brute
+
+  Contexte:
+    Étant donné que le système est configuré avec les limites suivantes:
+      | Paramètre                        | Valeur |
+      | Tentatives max avant blocage     | 5      |
+      | Durée de blocage temporaire      | 15 min |
+      | Tentatives max avant blocage 24h | 10     |
+      | Durée de blocage prolongé        | 24h    |
+      | Fenêtre de temps pour reset      | 30 min |
+
+  Scénario: Connexion réussie réinitialise le compteur de tentatives
+    Étant donné un utilisateur "alice@roadwave.fr" avec 3 tentatives échouées
+    Quand l'utilisateur se connecte avec les bons identifiants
+    Alors la connexion est réussie
+    Et le compteur de tentatives échouées est réinitialisé à 0
+    Et un événement de sécurité "LOGIN_SUCCESS_AFTER_FAILURES" est enregistré
+
+  Scénario: Blocage temporaire après 5 tentatives échouées
+    Étant donné un utilisateur "bob@roadwave.fr" avec 4 tentatives échouées
+    Quand l'utilisateur tente de se connecter avec un mauvais mot de passe
+    Alors la connexion échoue avec le code d'erreur "ACCOUNT_TEMPORARILY_LOCKED"
+    Et le message est "Votre compte est temporairement verrouillé pour 15 minutes suite à de multiples tentatives échouées"
+    Et un email de notification de sécurité est envoyé à "bob@roadwave.fr"
+    Et un événement de sécurité "ACCOUNT_LOCKED_TEMP" est enregistré
+    Et la métrique "security.account_locks.temporary" est incrémentée
+
+  Scénario: Tentative de connexion pendant le blocage temporaire
+    Étant donné un utilisateur "charlie@roadwave.fr" bloqué temporairement
+    Et il reste 10 minutes avant la fin du blocage
+    Quand l'utilisateur tente de se connecter avec les bons identifiants
+    Alors la connexion échoue avec le code d'erreur "ACCOUNT_TEMPORARILY_LOCKED"
+    Et le message contient "Votre compte reste verrouillé pour 10 minutes"
+    Et le temps de blocage restant est indiqué en minutes
+    Et la tentative ne rallonge pas la durée du blocage
+
+  Scénario: Connexion autorisée après expiration du blocage temporaire
+    Étant donné un utilisateur "david@roadwave.fr" bloqué temporairement il y a 16 minutes
+    Quand l'utilisateur tente de se connecter avec les bons identifiants
+    Alors la connexion est réussie
+    Et le compteur de tentatives échouées est réinitialisé à 0
+    Et le statut de blocage est levé
+    Et un événement de sécurité "ACCOUNT_UNLOCKED_AUTO" est enregistré
+
+  Scénario: Blocage prolongé après 10 tentatives échouées sur 24h
+    Étant donné un utilisateur "eve@roadwave.fr" avec historique:
+      | Tentatives échouées | Quand               |
+      | 5                   | Il y a 2 heures     |
+      | Blocage 15min levé  | Il y a 1h30         |
+      | 4                   | Il y a 30 minutes   |
+    Quand l'utilisateur tente une nouvelle connexion échouée
+    Alors la connexion échoue avec le code d'erreur "ACCOUNT_LOCKED_24H"
+    Et le message est "Votre compte est verrouillé pour 24 heures suite à de multiples tentatives suspectes"
+    Et un email urgent de sécurité est envoyé avec un lien de déblocage sécurisé
+    Et une notification SMS est envoyée (si configuré)
+    Et un événement de sécurité "ACCOUNT_LOCKED_24H" est enregistré avec niveau "HIGH"
+    Et la métrique "security.account_locks.prolonged" est incrémentée
+
+  Scénario: Blocage différencié par adresse IP
+    Étant donné un utilisateur "frank@roadwave.fr" avec 3 tentatives échouées depuis IP "1.2.3.4"
+    Quand l'utilisateur se connecte avec succès depuis IP "5.6.7.8"
+    Alors la connexion est réussie
+    Et le compteur de tentatives échouées pour IP "1.2.3.4" reste à 3
+    Et le compteur de tentatives échouées pour IP "5.6.7.8" est à 0
+    Et un événement de sécurité "LOGIN_FROM_NEW_IP" est enregistré
+
+  Scénario: Alerte de sécurité sur pattern suspect multi-IP
+    Étant donné un utilisateur "grace@roadwave.fr"
+    Quand 5 tentatives échouées sont détectées depuis 5 IP différentes en 10 minutes:
+      | IP         | Tentatives | Timestamp      |
+      | 1.2.3.4    | 2          | Il y a 10 min  |
+      | 5.6.7.8    | 1          | Il y a 8 min   |
+      | 9.10.11.12 | 1          | Il y a 5 min   |
+      | 13.14.15.16| 1          | Il y a 2 min   |
+    Alors le compte est immédiatement bloqué pour 24h
+    Et un email d'alerte critique "POSSIBLE_CREDENTIAL_STUFFING_ATTACK" est envoyé
+    Et l'équipe de sécurité est notifiée via webhook
+    Et toutes les sessions actives sont révoquées
+    Et la métrique "security.attacks.credential_stuffing.detected" est incrémentée
+
+  Scénario: Déblocage manuel par l'utilisateur via email sécurisé
+    Étant donné un utilisateur "henry@roadwave.fr" bloqué pour 24h
+    Et il a reçu un email avec un lien de déblocage sécurisé à usage unique
+    Quand l'utilisateur clique sur le lien dans les 2 heures suivant l'email
+    Et confirme son identité via un code envoyé par SMS
+    Alors le compte est débloqué immédiatement
+    Et l'utilisateur est invité à changer son mot de passe
+    Et un événement de sécurité "ACCOUNT_UNLOCKED_MANUAL" est enregistré
+    Et la métrique "security.account_unlocks.user_initiated" est incrémentée
+
+  Scénario: Réinitialisation automatique du compteur après période d'inactivité
+    Étant donné un utilisateur "iris@roadwave.fr" avec 3 tentatives échouées
+    Et aucune nouvelle tentative depuis 35 minutes
+    Quand l'utilisateur tente de se connecter avec un mauvais mot de passe
+    Alors le compteur de tentatives est réinitialisé à 1
+    Et le message d'erreur est standard sans mention de blocage imminent
+    Et un événement de sécurité "ATTEMPT_COUNTER_RESET" est enregistré
+
+  Scénario: Protection contre les attaques par timing
+    Étant donné un utilisateur "jack@roadwave.fr"
+    Quand l'utilisateur effectue 10 tentatives de connexion échouées
+    Alors chaque réponse HTTP prend entre 800ms et 1200ms (temps constant)
+    Et les messages d'erreur ne révèlent pas si l'email existe
+    Et la métrique "security.timing_protection.applied" est incrémentée
+    Et les logs n'exposent pas de patterns de timing exploitables
+
+  Scénario: Escalade des notifications avec tentatives répétées
+    Étant donné un utilisateur "kate@roadwave.fr" Premium
+    Quand les événements suivants se produisent:
+      | Événement              | Notification                  |
+      | 3 tentatives échouées  | Aucune notification           |
+      | 5 tentatives (blocage) | Email standard                |
+      | 10 tentatives (24h)    | Email + SMS + notification app|
+      | Tentative pendant 24h  | Email urgent + alerte support |
+    Alors chaque niveau de notification est proportionnel à la gravité
+    Et l'utilisateur peut configurer ses préférences de notification
+    Et la métrique "security.notifications.escalated" est incrémentée
+
+  Scénario: Whitelist d'IP pour utilisateurs de confiance
+    Étant donné un utilisateur "luke@roadwave.fr" avec IP de confiance "1.2.3.4"
+    Et la whitelist est configurée pour autoriser 10 tentatives au lieu de 5
+    Quand l'utilisateur effectue 7 tentatives échouées depuis "1.2.3.4"
+    Alors le compte n'est pas bloqué
+    Et un avertissement est affiché "3 tentatives restantes avant blocage"
+    Et un événement de sécurité "TRUSTED_IP_EXTENDED_ATTEMPTS" est enregistré
+
+  Scénario: Logs de sécurité détaillés pour audit
+    Étant donné un utilisateur "mary@roadwave.fr" avec tentatives échouées
+    Quand un audit de sécurité est effectué
+    Alors les logs contiennent pour chaque tentative:
+      | Champ             | Exemple                              |
+      | Timestamp         | 2026-02-03T14:32:18.123Z            |
+      | User ID           | uuid-123-456                         |
+      | Email             | mary@roadwave.fr                     |
+      | IP Address        | 1.2.3.4                              |
+      | User Agent        | Mozilla/5.0 (iPhone...)              |
+      | Failure Reason    | INVALID_PASSWORD                     |
+      | Attempts Count    | 3                                    |
+      | Geolocation       | Paris, France                        |
+      | Device Fingerprint| hash-abc-def                         |
+    Et les logs sont conservés pendant 90 jours minimum
+    Et les logs sont conformes RGPD (pas de mots de passe en clair)
+
+  Scénario: Métriques de performance du système de limitation
+    Étant donné que le système traite 1000 tentatives de connexion par minute
+    Quand les métriques de performance sont collectées
+    Alors les indicateurs suivants sont disponibles:
+      | Métrique                                 | Valeur cible |
+      | Temps de vérification du compteur        | < 50ms       |
+      | Latence ajoutée par le rate limiting     | < 100ms      |
+      | Pourcentage de tentatives bloquées       | < 2%         |
+      | Faux positifs (utilisateurs légitimes)   | < 0.1%       |
+      | Temps de déblocage automatique           | < 1s         |
+    Et les métriques sont exportées vers le système de monitoring
+    Et des alertes sont déclenchées si les seuils sont dépassés
+
+  Scénario: Compatibilité avec authentification multi-facteurs
+    Étant donné un utilisateur "nathan@roadwave.fr" avec 2FA activé
+    Et il a 4 tentatives échouées (mot de passe correct mais code 2FA incorrect)
+    Quand l'utilisateur tente une 5ème connexion avec mot de passe correct et mauvais code 2FA
+    Alors le compte est bloqué temporairement
+    Et le message précise "Blocage suite à de multiples erreurs de code 2FA"
+    Et le compteur 2FA est distinct du compteur de mot de passe
+    Et un événement de sécurité "2FA_LOCK_TRIGGERED" est enregistré