Audits de contrats intelligents
Audits de sécurité indépendants pour les contrats intelligents sur Ethereum, BNB Chain, Polygon, Arbitrum, Optimism, Base, zkSync, Solana, Aptos, Sui, StarkNet, TON, et Near. Nous couvrons Solidity, Vyper, Rust, Move, Cairo, et FunC. L'audit combine une revue manuelle ligne par ligne avec une analyse statique (Slither, Aderyn, Mythril), du fuzzing basé sur les propriétés (tests invariants Foundry, Echidna, Medusa), et une modélisation des attaques économiques pour les protocoles DeFi — prêts flash, manipulation d'oracles, MEV, attaques par donation, capture de gouvernance.
Vous recevez un rapport noté par gravité avec des tests de preuve de concept reproductibles Foundry ou Anchor pour chaque constat critique et élevé, des recommandations de remédiation, une passe de ré-audit après corrections, et un rapport signé adapté aux listings d'échange sur CEX et DEX. Le badge d'audit et le bloc d'attestation sont fournis comme artefact séparé pour votre README, pitch deck, et demande d'échange.
Tests d'intrusion
Tests d'intrusion autorisés selon la méthodologie PTES pour applications web, APIs REST, GraphQL et gRPC, applications mobiles sur Android et iOS (reverse engineering statique plus instrumentation runtime via Frida), engagements red-team Active Directory internes, infrastructures cloud sur AWS, Google Cloud et Microsoft Azure, et clusters Kubernetes. La couverture inclut le Top 10 OWASP et le Top 10 OWASP API Security, ainsi que des classes d'attaques modernes — confusion de clés JWT, manipulation de flux OAuth, smuggling de requêtes, abus de batching GraphQL, escalade de privilèges IAM, échappement de conteneurs.
La base d'outils comprend nmap, nuclei, Burp Suite, sqlmap, dalfox, ffuf, Frida, MobSF, Pacu, Prowler, et kube-hunter, plus des payloads personnalisés ciblés par engagement. Chaque constat critique et élevé est accompagné d'une preuve de concept fonctionnelle ; chaque rapport inclut une notation CVSS, les étapes de reproduction, les preuves, les recommandations de remédiation, et une passe de retest après corrections.
Développement de contrats intelligents
Du simple token ERC-20 à un protocole DeFi complet — AMM, marchés de prêts, dérivés, agrégateurs de rendement, produits structurés. Nous livrons la gouvernance avec timelocks et multisigs, intégrations d'oracles avec Chainlink, Pyth et RedStone, messagerie cross-chain via LayerZero ou Axelar, et abstraction de compte via ERC-4337. Standards couverts quotidiennement : ERC-20, ERC-721, ERC-1155, ERC-4337, coffres ERC-4626, proxys Diamond ERC-2535, comptes liés à des tokens ERC-6551, Token SPL Solana et Token-2022, ressources Move sur Aptos et Sui, patterns de stockage Cairo, Jettons TON.
Chaîne d'outils Foundry-first pour EVM avec objectifs de couverture de test à 90% et bases de fuzz à dix mille exécutions, CLI Anchor et Solana pour SPL, CLI Aptos et Sui pour Move, Scarb et Starkli pour Cairo, Blueprint pour TON. La livraison inclut le code source vérifié sur les explorateurs, scripts de déploiement, snapshots de gas, NatSpec sur chaque fonction publique, et une note de sécurité pré-audit pour l'auditeur.
Développement de portefeuilles
Portefeuilles custodiaux avec gestion de clés KMS, portefeuilles non custodiaux avec intégration hardware pour Ledger, Trezor et Keystone, déploiements multisig sur Safe (anciennement Gnosis Safe) et Squads sur Solana, portefeuilles embarqués via Privy, Magic, Dynamic et Web3Auth, et portefeuilles MPC utilisant Lit Protocol ou Fireblocks SDK. Nous livrons des SDK iOS, Android et Web selon le périmètre, plus l'infrastructure backend — coffre à clés, service de signature, flux de récupération.
Chaque portefeuille passe par notre propre piste d'audit avant lancement, et l'audit couvre la surface de signature de l'interface utilisateur aussi soigneusement que les contrats : affichage de signature, vérification des données typées EIP-712, simulation de transaction avant signature, intégrité du round-trip hardware wallet. Les hooks de conformité pour intégration KYC, filtrage des sanctions, et wiring Travel Rule sont préinstallés pour les projets licenciés VASP.
Développement blockchain
Chaînes Layer 1 personnalisées (typiquement forks de Geth, Substrate ou Cosmos SDK avec modifications spécifiques au projet), rollups Layer 2 via stacks établis — OP Stack pour optimistic, Polygon CDK et zkSync ZK Stack pour zero-knowledge, Arbitrum Orbit — et chaînes spécifiques à l'application pour les projets nécessitant un espace de bloc souverain, des tokens de frais personnalisés, ou des règles d'exécution contrôlées par gouvernance.
Nous intégrons tout autour de la chaîne : onboarding des validateurs, explorateur de blocs (Blockscout ou personnalisé), pont canonique vers Ethereum, robinet, infrastructure RPC, tableaux de bord de monitoring sur Grafana et Prometheus, intégration d'oracles si non natifs au stack, et runbooks opérationnels pour mises à jour, événements de slashing, et réponse aux incidents. Le package de lancement inclut une configuration genesis verrouillée, un audit complet, et un onboarding documenté des validateurs.
Développement de dApps
Applications décentralisées full-stack dans tous les grands secteurs : DeFi (AMM, prêts, agrégateurs de rendement, dérivés, perpétuels, produits structurés), NFT (places de marché, plateformes de mint, outils de drop, répartiteurs de royalties), GameFi (économies in-game, tokenisation d'actifs, places de marché), actifs du monde réel (bons du Trésor tokenisés, immobilier fractionné, financement de factures), et dApps d'infrastructure (frontends d'oracles, UI de ponts, tableaux de bord d'indexeurs).
Frontend en Next.js 14+ avec App Router et Server Components, ou SvelteKit selon préférence de l'équipe. Interaction chaîne via wagmi v2 et viem pour EVM et @solana/web3.js pour Solana ; UX portefeuille via RainbowKit, WalletConnect ou Privy. Indexeurs via The Graph, Goldsky ou Ponder. Backend (si nécessaire) sur Fastify, NestJS ou Hono en TypeScript, ou Axum en Rust, avec PostgreSQL, Redis et ClickHouse pour l'analytique.
Développement de Mini-Apps
Mini-Apps Telegram atteignant près d'un milliard d'utilisateurs actifs mensuels, Farcaster Frames v2 avec interactions inline transactionnelles, et applications Discord intégrées dans les serveurs où vivent déjà les communautés Web3. Les mini-apps réduisent le coût d'acquisition utilisateur d'un ordre de grandeur par rapport aux applications web autonomes car l'utilisateur est déjà authentifié, déjà en contexte, déjà dans une surface de confiance.
Pour Telegram, nous livrons avec support TON Connect (Tonkeeper, MyTonWallet) ou portefeuille EVM via Web3Modal. Pour Farcaster, nous construisons des frames transactionnels — mint, swap, vote inline. Pour Discord, nous intégrons des commandes slash liées à des actions on-chain (claim, vote, gate). Le backend gère la vérification de signature webhook, anti-replay, limitation de débit, et anti-bot. Les hooks de conformité (géorestriction, filtrage des sanctions) s'intègrent proprement pour les produits régulés.
Revue de sécurité LLM
Revue de sécurité ciblée des déploiements de grands modèles de langage — chatbots, pipelines de génération augmentée par récupération, agents autonomes, et serveurs Model Context Protocol. La couverture inclut le Top 10 OWASP pour applications LLM : injection directe de prompt, injection indirecte via documents récupérés et sorties d'outils, extraction de prompt système, fuite de données d'entraînement, abus d'outils d'agents avec appels hors scope, déni de service modèle, chaînes jailbreak multi-tours, et gestionnaires de sortie transformant le texte du modèle en RCE, XSS ou injection SQL en aval.
Les outils incluent garak de NVIDIA, promptfoo, llm-guard, NeMo Guardrails, et Microsoft PyRIT, plus des payloads ciblés adaptés à la stack client — Claude versus GPT versus Gemini versus Llama hébergé localement, récupération versus agent versus chatbot, simple tour versus multi-tours. Livrables : constats notés par gravité avec prompts de reproduction, recommandations de durcissement du prompt système, revue des gestionnaires de sortie avec classification des sinks, et passe de retest après remédiation.
Audit de sécurité de pipeline IA
Audit complet du pipeline IA en production, pas seulement du modèle isolé. Nous examinons l'intégrité des bases de données vectorielles (Pinecone, Weaviate, Qdrant, pgvector — incluant l'empoisonnement d'embeddings au moment de l'indexation et le jeu sur la récupération), les boucles d'exécution d'agents (récursion infinie, boucles d'appels d'outils, coûts incontrôlés), le durcissement du déploiement modèle (endpoints privés, scope IAM, limites de taux, secrets dans les prompts), et les sinks de gestion de sortie où le texte du modèle s'écoule dans SQL, shell, rendu HTML ou exécution de code en aval.
La génération augmentée par récupération est devenue la surface d'attaque dominante pour les applications LLM en 2026 : l'injection indirecte de prompt via un chunk empoisonné contourne entièrement votre prompt système, l'utilisation d'outils par l'agent escalade dès qu'un outil retourne une chaîne hostile, et l'empoisonnement d'embeddings à l'indexation est invisible aux défenses runtime. Nous livrons un modèle de menace, des attaques concrètes de preuve de concept, des recommandations de durcissement, et des règles de détection au format Sigma et Semgrep à déployer dans votre SOC.
GEO — Optimisation du moteur génératif LLM
L'Optimisation du Moteur Génératif est la discipline consistant à positionner votre entreprise dans les réponses de ChatGPT, Claude, Perplexity, Gemini, et la génération plus large de produits de recherche pilotés par IA. Les mécanismes diffèrent du SEO classique Google : les moteurs IA récompensent les schémas structurels (schéma FAQPage, topologie hub-and-spoke, ancrage d'entités nommées, densité factuelle, publication de llms.txt et llms-full.txt), pas le spam de graphe de liens ou la densité de mots-clés. Le positionnement propre à Soken a été construit sur ce même playbook.
Les engagements livrent un audit de votre empreinte actuelle de citation IA sur les quatre moteurs majeurs, une feuille de route de contenu ciblant des requêtes à forte intention, le déploiement de schémas Service, FAQPage, Organization et BreadcrumbList, la publication de llms.txt, et le suivi des citations par rapport à la base à trente, soixante et quatre-vingt-dix jours via Profound ou BotRank.
Intégration IA pour entreprises
Assistants IA en production et agents commerciaux intégrés aux surfaces clients que votre entreprise utilise déjà — chat web, Telegram, WhatsApp, Slack, Discord, widget in-app. Nous construisons des pipelines de génération augmentée par récupération basés sur votre base de connaissances avec citations, automatisation d'agents sur Anthropic Claude SDK, OpenAI Assistants ou Llama hébergé localement, et l'infrastructure support : tableaux de bord de coûts, limites de taux, détection d'abus, pistes d'audit, monitoring OpenTelemetry.
Chaque intégration est livrée pré-durcie contre les modes de défaillance de sécurité identifiés dans notre piste Revue de sécurité LLM — injection de prompt, empoisonnement RAG, secrets dans les prompts, exploitation des gestionnaires de sortie. L'équipe qui construit votre bot commercial est la même qui audite les pipelines IA pour la sécurité et révise les déploiements LLM pour la résilience à l'injection de prompt, assurant que le produit est sécurisé par défaut dès sa mise en production plutôt que corrigé a posteriori.
