[🛠] Journal de développement Secret Messenger #1 : Flutter Web + Node (test de Vibe Coding)

✨ Résumé de GPT 　

Une journée à finaliser l’architecture technique et la conception de sécurité d’une messagerie centrée sur la sécurité pour les transfuges nord-coréens en Chine, puis à rédiger un plan de développement MVP basé sur Flutter Web + Node.

🧮 Secret Messenger

C’est une messagerie destinée aux utilisateurs transfuges nord-coréens vivant en Chine sans pièce d’identité officielle.

• 📱 Accessible depuis un navigateur, sans installation
• 💬 Capable de recevoir des informations, de mener des conversations secrètes et de partager des fichiers
• 🛡️ Un outil de communication centré sur la sécurité, basé sur Flutter Web

Ce projet est une expérimentation technique pour la protection des droits humains et l’aide à la survie, et non à des fins politiques. Il ne suppose ni distribution publique ni usage commercial. (🔒 Géré uniquement dans un dépôt GitHub privé.)

---

📌 Aperçu du projet

Élément	Contenu
Utilisateurs	Transfuges nord-coréens en Chine, avec une très faible littératie numérique, dont les téléphones peuvent être surveillés par les autorités de sécurité publique
Objectif	Partage d’informations, chat secret et partage de fichiers sécurisé
Forme	SPA Flutter Web basée sur le navigateur, sans installation requise
Domaine	https://???.net (déguisé en interface de calculatrice)
Stratégie de déguisement UI	Premier écran ressemblant à une calculatrice -> une opération précise envoie une demande d’entrée au serveur
Méthode d’entrée	Flutter Web envoie la clé d’entrée au serveur en POST, puis le serveur décide s’il émet un jeton d’accès
Stratégie de sécurité du code	Les conditions et logiques sensibles ne sont pas incluses dans le client ; toutes les décisions sont prises côté serveur
Priorité des fonctionnalités	① Réception d’informations -> ② Chat -> ③ Partage de fichiers

---

🧪 Projet expérimental de Vibe Coding

En même temps, ce projet est un MVP destiné à tester l’applicabilité réelle et les limites d’une méthode de développement appelée Vibe Coding.

• La conception et l’implémentation se font en langage naturel, et la majeure partie de la génération de code est réalisée avec l’aide de l’AI.
• L’utilisateur joue le rôle de concepteur/coordinateur plutôt que d’écrire directement la plupart du code.
• L’objectif est d’évaluer dans la réalité l’efficacité et les facteurs de risque du développement piloté par l’AI.

À travers cette expérimentation, je veux explorer l’avenir des méthodes de développement fondées sur l’AI et vérifier si elles peuvent atteindre un niveau applicable à un vrai projet de droits humains.

---

⚙️ Stack technique

🔷 Frontend (Flutter Web)

• Flutter 3.x (Web build)
• Material 3 (adapté au déguisement en UI de calculatrice)
• go_router (transitions de pages et composition d’une entrée cachée)
• Riverpod (gestion d’état : UUID, sessions, etc.)
• http (communication REST API)

🔍 Stratégie UI

• Écran initial : TextField + grille de boutons sous forme de calculatrice
• Saisie d’une opération précise -> envoi au serveur -> si elle est valide, l’entrée interne est autorisée
• Aucun déclencheur ni logique d’entrée n’est inclus côté client

---

🔷 Backend (Node.js + Express)

• Node.js 18+
• Express.js (serveur REST API)
• SQLite (base de données locale basée sur des fichiers)
• Multer (upload de fichiers)
• node-cron (planificateur de suppression basée sur TTL)
• Middleware de sécurité comme CORS, helmet, rate-limit

📁 API principales

• POST /check-trigger
  • Le serveur vérifie la chaîne saisie
  • Si elle correspond à une condition de déclenchement préenregistrée, il émet un jeton de session
• GET /session/:id ou /inbox/:key
  • Seuls les utilisateurs possédant une clé de session émise par le serveur peuvent accéder aux fonctions internes
• POST /message, GET /messages
  • Stockage/consultation de messages basés sur TTL
• POST /upload, GET /file/:id
  • Prise en charge de l’upload de fichiers et de leur suppression automatique

---

🔷 Infrastructure / déploiement

• Docker (cohérence et portabilité de l’environnement serveur)
• Ubuntu 22.04 LTS (Vultr VPS)
• Vultr VPS (région Hong Kong) — pour assurer une stabilité d’accès depuis la Chine
• Cloudflare (proxy DNS + SSL + masquage d’IP)
• Domaine : ???.net — domaine de déguisement en calculatrice

---

🔐 Stratégie de sécurité

Élément	Description
Séparation du code	Le code sensible, comme la logique d’entrée et les déclencheurs, reste réservé au serveur
Rôle limité de Flutter Web	Effectue uniquement le rendu UI et l’envoi de la saisie
HTTPS forcé	Cloudflare + Let’s Encrypt
Proxy Cloudflare	Masque l’IP du serveur et aide à se défendre contre les DDoS
Restriction CORS	Bloque les requêtes provenant de domaines non autorisés
Politique no-cache	Applique l’en-tête no-store à toutes les réponses
TTL des messages	Suppression automatique basée sur l’heure de création
TTL des fichiers	Suppression des fichiers dans un délai défini après l’upload, traitée par node-cron
Restriction du stockage local	Minimiser ou interdire l’usage de localStorage/cookies

---

🗂️ Liste des fonctionnalités

Fonctionnalité	État	Description
🧊 UI déguisée	🟢 En cours d’implémentation	Déguisement en UI de calculatrice, avec condition d’entrée appliquée via le serveur
📥 Réception d’informations	🟢 En préparation	Annonces administrateur (lecture seule)
💬 Salle de chat	🟡 Prévu	Chat de groupe anonyme (basé sur TTL)
📁 Partage de fichiers	🟡 Prévu	Partage de fichiers configurés pour suppression automatique
🔥 Système de suppression	🟡 Prévu	Automatisation de la suppression TTL des messages/fichiers

---

🚀 Roadmap de développement

• ⚙️ Concevoir l’architecture système et établir le modèle de sécurité
• 📌 Finaliser la stack technique + décider de la stratégie de déguisement
• 🌐 Acheter le domaine (???.net)
• 🔨 Scaffold de calculatrice Flutter Web
• 🔨 Scaffold API Express + SQLite
• 🔐 Construire la structure de traitement serveur de la clé d’entrée
• 📦 Docker + automatisation du déploiement
• 🌐 Déploiement VPS + intégration Cloudflare
• 🧪 Test du MVP
• 🎯 Stabilisation et distribution interne

---

📄 Notes

• Ne jamais committer de code ou d’informations sensibles sur GitHub.
• Le code Flutter destiné au déploiement va dans le répertoire build/, et le code serveur s’exécute uniquement dans le conteneur Docker.
• Toutes les communications API sont chiffrées en HTTPS, et les données utilisateur sont automatiquement détruites après le paramétrage TTL.
• Les informations sensibles comme les clés d’entrée de la calculatrice et les UUID utilisateur ne sont jamais incluses dans le frontend ; elles sont traitées uniquement à partir de clés de vérification privées à l’intérieur du serveur.
• La vérification des conditions d’entrée et l’identification des utilisateurs sont construites comme une logique de vérification unidirectionnelle exécutée uniquement côté serveur, de sorte que même si le code Flutter Web est exposé, les informations de sécurité ne sont pas révélées à l’extérieur.

---

👤 Note développeur

Ce projet n’est pas une simple application. Je le commence avec l’idée que, pour certaines personnes, il pourrait être un outil de survie relié à la vie elle-même.

Que la technologie ne devienne pas un outil de surveillance, mais un outil pour la liberté.

---

💭 Journal

Pour quoi est-ce que je vis ? La richesse et l’honneur ? Non. Ce genre de choses n’a jamais pu être un objectif au départ. Ce ne sont que des moyens.

Quelle vie est-ce que je veux vraiment ? … Je ne saurais pas la définir. En tout cas, il est clair qu’elle appartient à la grande catégorie aimer Dieu / aimer son prochain.

Quoi qu’il en soit, quand je vois que ce projet fait battre mon coeur et me donne une sensation d’exaltation, je pense que ce genre de chose est bien ce que je voulais le plus faire maintenant.

Alors, pour l’instant, commençons par là.