🌊 Rapport d'analyse CodeWave

Tour 1 : Analyse initiale

• Faille de confidentialité antérieure critique : le comportement 'in: []' désactivait le filtre GraphQL, exposant potentiellement tous les documents entre régies - cette exigence de filtrage aurait dû être spécifiée dans les user stories initiales
• Absence de gestion d'erreurs : si getUserRegie() ou getPpeIdsFor() échouent, l'application crashera ou retournera une liste vide sans feedback - l'utilisateur ne comprendra pas pourquoi ses documents sont inaccessibles
• Aucun test unitaire pour une logique de ségrégation de données critique - risque de régression élevé lors de futures modifications
• Impact performance : 2 appels API supplémentaires (getUserRegie + getPpeIdsFor) à chaque chargement de liste de documents, sans cache alors que les PPE d'une régie changent peu fréquemment
• L'assertion non-null (!) sur getTokenFromCookies() risque de causer des crashes en production si le cookie est absent

• SÉCURITÉ : Interpolation directe de regieId dans la requête GraphQL (regie.model.ts ligne `${regieId}`) sans variables paramétrées - vulnérabilité potentielle d'injection
• STABILITÉ : Assertion non-null (!) sur getTokenFromCookies() dans getPpeIdsFor - crash runtime garanti si token absent au lieu d'erreur gérée
• TESTABILITÉ : Aucun test unitaire pour getPpeIdsFor (nouvelle méthode critique) ni pour la logique conditionnelle de fallback dans getDocumentsList
• PERFORMANCE : Chaîne asynchrone séquentielle à 4 appels (token→userId→regie→ppeIds) sans caching - chaque requête de documents déclenche potentiellement 3 appels API supplémentaires

• Violation du SRP : getDocumentsList gère 5 responsabilités (auth + userId + régie + ppeIds + requête) au lieu de 2, augmentant le risque de régression
• Nommage trompeur : 'user' devrait être 'userId' puisque getUserIdFromToken retourne un identifiant, pas un objet utilisateur complet
• Assertion non-nulle dangereuse : getTokenFromCookies()! peut causer une TypeError non gérée en production si le cookie est absent
• Ternaire async en ligne avec complexité cyclomatique 3 : la logique de fallback des ppeIds devrait être extraite dans une fonction séparée 'resolvePpeIds' pour la testabilité
• Absence totale de tests pour les 3 chemins conditionnels (undefined, tableau vide, tableau rempli) - risque de régression sur le filtrage par régie

• 0% couverture de branche sur logique conditionnelle ppeIds (3 chemins: undefined, tableau vide, valeur fournie) - getDocumentsList.ts lignes 21-24
• Méthode Regie.getPpeIdsFor({ regieId }) sans test unitaire - risque de fuite de données inter-régies si retourne tableau vide/incorrect
• Filtre GraphQL `in: [${ppeIds}]` non sanitisé: risque injection + comportement indéfini si tableau vide (0 résultats vs tous les documents)
• Opérateur `!` sur getTokenFromCookies() sans test cas null - crash en production garanti si cookie absent
• 3 appels asynchrones séquentiels sans try/catch (getUserIdFromToken, getUserRegie, Regie.getPpeIdsFor) - aucun test d'erreur

• Absence de gestion d'erreurs sur 3 appels asynchrones en cascade (lignes 21-24) : si getUserRegie retourne null, regieId est undefined, comportement imprévisible dans getPpeIdsFor
• Interpolation directe dans la requête GraphQL (ligne 111) : pattern `in: [${ppeIds}]` sans validation ni échappement, risque d'injection et comportement indéfini si le tableau est vide
• Violation du SRP dans getDocumentsList : combine désormais authentification + autorisation + requêtage de données, devrait être séparé en couches distinctes
• Couplage direct au modèle Regie : l'import de Regie dans l'action serveur contourne la couche service, réduisant la testabilité et augmentant le couplage
• Assertion non-nulle risquée sur getTokenFromCookies()! : masque les cas d'absence de cookie, risque de crash en production

Tour 2 : Préoccupations et questions

• RISQUE MÉTIER CRITIQUE : Absence de gestion d'erreurs sur 3 appels en cascade dans getDocumentsList.ts (lignes 21-24) - si getUserRegie() ou getPpeIdsFor() échouent, l'utilisateur voit ZÉRO document sans explication, dégradant l'expérience client au lieu de l'améliorer
• VULNÉRABILITÉ DE SÉCURITÉ : Interpolation directe de regieId dans regie.model.ts (ligne `eq: ${regieId}`) sans variables paramétrées GraphQL - risque d'injection pouvant contourner le filtrage par régie que ce correctif est censé garantir
• ABSENCE DE TESTS SUR LOGIQUE DE SÉCURITÉ : 0% couverture sur les 3 chemins conditionnels de getDocumentsList.ts (undefined, tableau vide, valeur fournie) et sur getPpeIdsFor - risque de régression vers une fuite de données inter-régies
• IMPACT PERFORMANCE UTILISATEUR : 3 appels API séquentiels supplémentaires par chargement de liste de documents sans aucun cache - les PPE d'une régie changent rarement, un cache serait justifié pour réduire la latence perçue
• ASSERTION NON-NULLE RISQUÉE : getTokenFromCookies()! dans regie.model.ts peut causer un crash en production sans message explicite pour l'utilisateur ou le support technique

• Interpolation GraphQL `${regieId}` dans getPpeIdsFor : risque injection atténué car source interne mais devrait utiliser variables Apollo
• Assertion non-null (!) sur getTokenFromCookies() : crash runtime si cookie absent, pattern existant mais dangereux
• 0% couverture tests : 3 chemins conditionnels (undefined/[]/valeur) et getPpeIdsFor non testés
• Chaîne async sans try/catch : getUserRegie() retournant null cause regieId undefined dans GraphQL

• Vulnérabilité d'injection GraphQL confirmée : interpolation directe de regieId sans variable paramétrée dans regie.model.ts - risque de sécurité réel même avec source contrôlée
• Absence de gestion d'erreurs sur 3 appels asynchrones en cascade (getUserIdFromToken, getUserRegie, getPpeIdsFor) - crash garanti si l'un échoue
• Assertion non-nulle dangereuse getTokenFromCookies()! dans les deux fichiers - TypeError en production si cookie absent
• Nommage trompeur 'user' au lieu de 'userId' - nuit à la lisibilité et à la maintenabilité
• Zéro couverture de test pour la logique de ségrégation de données critique (3 chemins conditionnels non testés)

• 0% couverture de branche sur ternaire ppeIds (getDocumentsList.ts lignes 21-24) : 3 chemins conditionnels sans test affectant la visibilité des documents inter-régies
• Regie.getPpeIdsFor (regie.model.ts lignes 39-61) sans test unitaire : méthode critique de ségrégation, un retour incorrect expose des documents d'autres régies
• Vulnérabilité d'injection GraphQL : interpolation directe `${regieId}` dans regie.model.ts contourne les variables paramétrées GraphQL
• Assertion non-nulle getTokenFromCookies()! sans test cas null (2 occurrences) : TypeError garanti en production si cookie absent
• 3 appels async en cascade sans try/catch (getUserIdFromToken, getUserRegie, getPpeIdsFor) : aucun scénario d'erreur testé

• VULNÉRABILITÉ CRITIQUE : Interpolation directe ${regieId} et in: [${ppeIds}] dans les requêtes GraphQL sans variables paramétrées - risque d'injection confirmé
• ABSENCE DE GESTION D'ERREURS : 3 appels asynchrones en cascade (getUserIdFromToken, getUserRegie, getPpeIdsFor) sans try/catch - crash garanti en production si un échoue
• VIOLATION SRP MAJEURE : getDocumentsList gère 5 responsabilités (auth + userId + régie + ppeIds + requête) au lieu de 1-2, augmentant le risque de régression
• COUPLAGE DIRECT : L'import de Regie dans l'action serveur contourne la couche service, réduisant la testabilité et augmentant le couplage inter-couches
• ASSERTION NON-NULL DANGEREUSE : getTokenFromCookies()! masque les cas d'absence de cookie, transformant une erreur gérable en crash runtime

Tour 3 : Validation

• PARADOXE SÉCURITAIRE : L'interpolation `eq: ${regieId}` dans regie.model.ts (lignes 50-52) permet l'injection GraphQL, contournant le filtrage par régie que ce correctif est censé garantir. L'intention métier de confidentialité est annulée par l'implémentation
• DÉGRADATION UX : 3 appels en cascade sans try/catch dans getDocumentsList.ts (lignes 20-23) → un échec affiche ZÉRO document sans message d'erreur. L'utilisateur perd l'accès au lieu d'être protégé
• RISQUE RÉGRESSION : 0% couverture sur ternaire ppeIds (undefined / [] / valeur fournie) lignes 21-24 → tout changement futur peut réintroduire la fuite de données inter-régies
• LATENCE UTILISATEUR : 3 appels API séquentiels par chargement de liste sans cache → les PPE d'une régie changent rarement, un cache serait justifié
• ASSERTION NON-NULL : getTokenFromCookies()! dans regie.model.ts ligne 41 → TypeError en production si cookie absent, sans message exploitable pour le support

• CRITIQUE : Interpolation GraphQL ${regieId} regie.model.ts ligne 50 - variables Apollo requises (0.5h dette)
• CRITIQUE : Absence try/catch sur 3 appels async getDocumentsList.ts lignes 21-24 (0.5h dette)
• Assertion non-nulle getTokenFromCookies()! regie.model.ts ligne 41 - TypeError si cookie absent (0.25h dette)
• Nommage trompeur 'user' au lieu de 'userId' getDocumentsList.ts ligne 21 (0.25h dette)
• 0% couverture test logique ségrégation : 3 chemins conditionnels + getPpeIdsFor (1.5h dette)

• VULNÉRABILITÉ CRITIQUE : Interpolation directe ${regieId} dans la requête GraphQL sans variable paramétrée - risque d'injection même avec source 'interne'
• ABSENCE DE GESTION D'ERREURS : 3 appels async en cascade sans try/catch - crash garanti si l'un échoue, et getUserRegie retournant null propage undefined dans GraphQL
• ZÉRO COUVERTURE TESTS : Logique de ségrégation de données (3 chemins conditionnels + getPpeIdsFor) sans aucun test - risque de régression vers fuite de données inter-régies
• ASSERTIONS NON-NULLES DANGEREUSES : getTokenFromCookies()! dans 2 fichiers - TypeError en production si cookie absent, pattern existant ne justifie pas sa propagation
• NOMMAGE TROMPEUR : variable 'user' contient un userId, nuit à la lisibilité

• 0% couverture de test sur 3 branches conditionnelles affectant la visibilité inter-régies - risque de fuite de données
• Regie.getPpeIdsFor() sans test unitaire - méthode critique de ségrégation des données
• Vulnérabilité d'injection GraphQL confirmée par 3 reviewers - interpolation ${regieId} sans variables paramétrées
• Absence totale de gestion d'erreurs sur 3 appels async en cascade - crash garanti en production
• 2 assertions non-nulles (!) sans test cas null - TypeError en production si cookie absent

• VULNÉRABILITÉ CRITIQUE : Interpolation directe ${regieId} dans la requête GraphQL sans variables paramétrées - risque d'injection qui contourne le filtrage par régie que ce correctif est censé garantir
• ABSENCE DE GESTION D'ERREURS : 3 appels asynchrones en cascade sans try/catch - crash garanti en production si getUserRegie() ou getPpeIdsFor() échouent, dégradant l'UX au lieu de l'améliorer
• VIOLATION SRP MAJEURE : getDocumentsList gère 5 responsabilités (auth + userId + régie + ppeIds + requête) au lieu de 1-2, augmentant le risque de régression
• COUPLAGE DIRECT : L'import de Regie dans l'action serveur contourne la couche service, réduisant la testabilité et augmentant le couplage inter-couches
• ZÉRO COUVERTURE TESTS : 3 chemins conditionnels et getPpeIdsFor sans test unitaire pour une logique de SÉCURITÉ critique