Changelog - RackList

v1.0.0

Released on Jun 5, 2026

[1.0.0] - 2026-06-05

Première sortie publique versionnée de RackList. Cette release marque le passage d'un cycle « always-on alpha » à des releases tracées, taguées et annoncées. Le contenu ci-dessous présente l'intégralité des capacités disponibles au jour de la 1.0, avec une attention particulière portée à la sécurité des données et aux engagements de conformité.

Bienvenue sur RackList

RackList est une plateforme indépendante de référencement et d'avis sur les hébergeurs internet. Le but : aider à choisir un hébergeur en s'appuyant sur des données vérifiées, des avis modérés, et des comparaisons côte-à-côte. La 1.0 couvre l'ensemble du parcours, du visiteur de passage à l'hébergeur professionnel qui revendique sa fiche, opère son catalogue et expose des intégrations.

Trouver l'hébergeur qui vous correspond

Annuaire complet avec recherche full-text, autocomplétion, et filtres par catégorie, pays, badges, datacenter, fiches non revendiquées, présence sur le réseau de sondes. Tri par score, nombre d'avis, moyenne, réactivité support, ancienneté ou ordre alphabétique. Compteurs par facette affichés en temps réel.
Comparateur côte-à-côte jusqu'à 4 hébergeurs en parallèle. Deux vues complémentaires : comparaison des fiches (score, badges, métriques réseau) et comparaison des offres (catalogue produits avec TCO sur 1, 2 et 3 ans).
Wizard de recommandation guidée en trois étapes : choix de la catégorie (VPS, Jeux, Dédié, Web, Tunnel), budget calé sur les prix réels du catalogue, hiérarchisation des priorités (performance, support, prix). Sortie : recommandations classées avec alternatives.
Marché des offres avec filtres granulaires : prix, spécifications matérielles, pays, certifications, score minimum, avis minimum, type de contrat. Analyse visuelle de corrélation prix-qualité.
Pages thématiques par technologie (« Meilleur hébergement pour MySQL », « pour WordPress », « pour Node.js »…) : listing des hébergeurs les mieux notés sur la stack, offres recommandées associées.
Rankings éditoriaux paramétrés en back-office : tops thématiques composables sur n'importe quel critère, pour valoriser des angles de comparaison spécifiques.
Marque-pages pour sauvegarder hébergeurs et offres consultés.

Fiche hébergeur en quatre onglets

Profil : description, support, status page, stack technique, logo et identité visuelle.
Offres : catalogue paginé du produit, filtre par catégorie, recherche interne. Les fiches non revendiquées sont limitées à 6 produits pour inciter à la revendication.
Communauté : avis, questions et réponses, vote utile, signalement, réponse hébergeur.
Confiance : datacenters (pays, ville, primaire ou secondaire), certifications avec dates, infos réseau (ASN, préfixes IPv4 et IPv6, downstreams).

Comprendre la qualité d'un hébergeur

Système de score RackList documenté publiquement. Cinq axes notés sur 20 : ancienneté, avis utilisateurs, conformité, réactivité support, valeur perçue. Bonus et malus explicités sur la page dédiée et visibles dans chaque fiche.
Historique de score consultable par les propriétaires de fiche, sous forme de graphique.
Badges hébergeur vérifiés par l'équipe modération.

Donner et lire des avis

Dépôt d'avis utilisateurs avec notation multi-critères, anti-spam, modération humaine systématique avant publication.
Réponse hébergeur : les hébergeurs ayant revendiqué leur fiche peuvent répondre publiquement.
Édition d'un avis approuvé par son auteur, avec retour automatique en file de modération.
Signalement d'un avis problématique avec justification écrite. Priorité accordée aux signalements émis par les ambassadeurs.
Vote utile sur les avis, toggle réversible.
Preuve d'achat : possibilité de joindre une facture à un avis pour valoriser la fiabilité. Vérification staff.
Topics : catégorisation thématique des avis (performance, support, fiabilité…).
Témoignages de migration : « j'ai migré de l'hébergeur A vers l'hébergeur B », verdict, note, audit staff.
Questions et réponses publiques sous chaque fiche, votes utile ou non utile sur les réponses.

Veiller et anticiper

Alertes prix : configurer un seuil sur une offre, recevoir une notification dès que le prix baisse.
Historique de score d'un hébergeur surveillé, graphique d'évolution.
Calendrier d'événements publié par les hébergeurs : maintenance planifiée, opérations promotionnelles, lancements produits.
Alertes d'anomalie détectées par le réseau de sondes (dégradation réseau, latence anormale).
Watchlists B2B (Insights) réservées aux abonnés Pro et Enterprise : suivre une liste d'hébergeurs, matrice d'indicateurs côte-à-côte, export CSV.
Tableau OSINT pour les propriétaires de fiche : gestion des consentements, alertes d'incidents détectés sur leur périmètre.

Compte, contrôle et vie privée

Inscription par email et mot de passe (12 caractères minimum).
Connexion fédérée via Google, Discord et GitHub (ClientXCMS prochainement), avec page intermédiaire de confirmation des données capturées (consentement RGPD art. 13 démontrable).
Magic links : connexion sans mot de passe via lien email à usage unique.
Réinitialisation mot de passe sécurisée, protégée contre l'énumération d'adresses.
Authentification à deux facteurs (2FA) : TOTP compatible Google Authenticator, Authy, 1Password, Bitwarden. Codes de secours à usage unique.
Liaison et déliaison OAuth depuis le compte, avec garantie qu'au moins une méthode d'authentification reste active.
Vérification email à token unique, anti-énumération, anti-spam.
Édition profil (rectification RGPD art. 16) : email, pseudonyme, prénom, nom, locale d'interface, opt-in Gravatar.
Avatar identicon déterministe généré depuis l'email, aucun stockage.
Suppression de compte en cinq politiques explicites : désactivation réversible, masquage de profil réversible, anonymisation différée 30 j, effacement privé 30 j, effacement complet 30 j. Annulation possible pendant la fenêtre de 30 jours.
Export RGPD : archive complète de vos données, chiffrée, lien signé valide 24 h, re-authentification obligatoire, notification email out-of-band à chaque téléchargement.
Consentement cookies granulaire (essentiels, analytics, marketing), opt-out 1-clic.
Désinscription newsletter en un clic (compatible avec les boutons natifs Gmail, Outlook, etc.), gestion par catégorie depuis le compte.
Préférences de notifications par canal (in-app et email), seuils de variation de score, nouveaux hébergeurs, messages directs, alertes prix, alertes uptime, alertes OSINT.
Messagerie directe entre utilisateurs (DM), gestion des conversations privées.
Onboarding hébergeur : flux guidé pour les nouveaux comptes hébergeur.

Pour les hébergeurs

Revendication de fiche par vérification email ou enregistrement DNS TXT. Notifications email à chaque transition.
Tableau de bord propriétaire avec analytics quotidiens (impressions, clics widgets), KPIs, vue d'incidents 48h.
Réponse aux avis publique, gestion du catalogue produit, importation CSV en masse, auto-remplissage des spécifications depuis le catalogue public.
Sous-utilisateurs (équipes) : inviter des collègues sur la fiche avec rôles fins (Editor, Viewer, Admin) et permissions granulaires.
Messages hébergeur : recevoir et répondre aux messages des visiteurs depuis l'espace propriétaire.
Recommandations de partenaires : référencer ses intégrateurs et partenaires depuis sa fiche.
API publique REST documentée, deux plans Free et Pro avec quotas adaptés. Réponses enrichies des indicateurs nécessaires aux intégrations (limites courantes, conditions de cache).
Synchronisation produits (prochainement) depuis WHMCS, Blesta, HostBill.
Widgets embeddables : badges SVG personnalisables (score, uptime, nombre d'avis), thèmes clair ou sombre, plusieurs tailles, signature de provenance, cache intelligent.
Intégration oEmbed pour WordPress, Ghost, Notion, Slack, Discord.
Clés widget multiples, quotas et allow-list d'origines configurables, journal d'audit complet.
Webhooks signés sur événements typés, désactivation automatique en cas d'échecs répétés.
Modules téléchargeables (intégration WHMCS et autres) depuis la page dédiée.
Calendrier de publication : annoncer maintenance, promotions, lancements.
Post-mortems : documenter publiquement les incidents passés (timeline, actions correctives, status).
Vérifications techniques par la communauté (specs déclarées vs constatées).
Programme Host Referral : référencer un autre hébergeur en tant qu'apporteur d'affaires.

Communauté et écosystème

Ambassadeurs : candidature avec charte v1.0, workflow d'approbation, tableau de bord avec lien de parrainage public, suivi des attributions.
Partnerships : workflow d'application pour les partenariats institutionnels.
Vérificateurs communautaires : utilisateurs habilités à valider ou contester les vérifications techniques de fiches.
Migration testimonials : récits structurés de migration d'un hébergeur vers un autre, modérés.
Blog multi-locale (FR et EN indépendants) avec table des matières automatique, articles liés, catégories, tags, feed Atom.
Newsletter avec catégories opt-in granulaires, double opt-in, consentement RGPD horodaté.
SEO outillé : sitemap, robots.txt, IndexNow, opt-in explicite des crawlers IA.
Home page : top hôtes éditorial mis en avant, feed des derniers avis publiés.

Plateforme, modération et confiance

Signalement DSA (Digital Services Act, article 16) ouvert à tous, anonyme ou identifié, avec token privé de suivi et catégorisation (propriété intellectuelle, sécurité enfance, fraude, terrorisme, etc.).
Rapports d'incidents par les utilisateurs : downtime, breach, dégradation de service, incident sécurité.
Vérification multi-niveaux côté staff : identité légale (SIREN/SIRET), données réseau déclarées, preuves d'achat, claim DNS.
Modération outillée : file de modération des avis avec filtres et statistiques d'auteur, file de signalements, queue de fraud alerts, rappels de vérification email.
Anti-fraude : détection automatique par cross-référence, confirmation ou dismiss par modérateur.
Outils admin complets : gestion utilisateurs, gestion contenu, API consumers, billing sync, notices DSA, registre d'incidents, audit log structuré.
Mises à jour temps réel : scores, modération, notifications sans rechargement de page.
Réseau de sondes : programme volontaire d'hébergeurs hébergeant des agents de mesure, détection automatique d'anomalies.
Renseignement réseau : DNS, RDAP, inspection des certificats SSL, listes noires IP, vérifications DKIM.
Pages légales complètes versionnées : Privacy Policy, Cookies, Mentions Légales, CGU, CGV, DPA, Transparence IA, Politique de modération, Charte Ambassadeur v1.0.

Sécurité des données et conformité

RackList est conçue autour de quatre principes : minimiser ce qu'on collecte, chiffrer ce qu'on conserve, tracer ce qu'on opère, respecter les droits à la source. Cette section décrit les engagements concrets au jour de la 1.0.

Chiffrement des données personnelles

Les informations d'identification (email, pseudonyme, prénom, nom) ainsi que les facteurs forts (secret 2FA) sont chiffrées au repos avec un algorithme authentifié de niveau industrie standard (libsodium AEAD). Les données restent inutilisables sans la clé.
Les recherches indispensables (connexion par email, contrôle d'unicité du pseudonyme) passent par un système d'index aveugles : la base est interrogée par empreinte cryptographique, jamais sur la donnée en clair.
Cadre légal adressé : RGPD art. 32 (sécurité du traitement).

Authentification

Mots de passe protégés par Argon2id avec un paramétrage conforme aux recommandations ANSSI.
12 caractères minimum, sans règles de composition arbitraires (suit la doctrine NIST 800-63B sur les bonnes pratiques mot de passe).
Connexion fédérée OAuth avec page de confirmation intermédiaire : aucune création de compte silencieuse, données capturées affichées avant validation.
Clés API publique : secret haché en base, jamais visible après création, jamais en clair dans les journaux.
Limitation des tentatives en amont de la vérification cryptographique pour empêcher la saturation des ressources et le brute-force par collision de préfixe.
Comptes supprimés, bannis ou désactivés rejetés au pré-auth avec un message générique (prévention de l'énumération de comptes).

Deux facteurs (2FA)

TOTP compatible avec les applications standard du marché (Google Authenticator, Authy, 1Password, Bitwarden).
Codes de secours à haute entropie, stockés hachés, affichés une seule fois à l'activation et consommables une seule fois.
Désactivation 2FA : exige le mot de passe ET le code TOTP. Pour les comptes OAuth-only, le code TOTP seul suffit. Messages d'erreur volontairement génériques pour ne pas indiquer quel facteur a échoué.
État de session entre l'étape mot de passe et l'étape TOTP scellé cryptographiquement : aucune manipulation de session possible entre les deux étapes.

Sessions et actions sensibles

Cookie de session non persistant, marqué sécurisé et inaccessible au JavaScript, transmission restreinte aux requêtes de l'origine.
Idle timeout 30 minutes, plafond absolu plus court pour les administrateurs.
L'identifiant de session est régénéré après chaque opération sensible : authentification 2FA, désactivation 2FA, changement de mot de passe, déliaison OAuth. Effet concret : un cookie capturé avant l'opération sensible ne donne plus accès au compte affaibli.
Toute action critique (désactivation 2FA, suppression de compte, déliaison OAuth, changement d'email) déclenche : re-authentification complète, audit forensique, notification email out-of-band au propriétaire légitime.

Anti-brute-force et anti-saturation

Limiteurs configurables couvrant l'inscription, la connexion, les vérifications 2FA, la réinitialisation mot de passe, la vérification email, les formulaires publics et le dépôt d'avis.
Plusieurs couches indépendantes (edge, reverse proxy, application) protègent contre les volumes anormaux et le DDoS.
Seuils ajustables à chaud sans déploiement.

Audit forensique

Canal d'audit dédié, format structuré, longue rétention conforme aux recommandations ANSSI.
Trace de chaque tentative d'authentification (succès et échec) : IP, géolocalisation, opérateur, classification réseau, score de risque, drapeaux d'anomalies. Visible des administrateurs uniquement.
Trace de chaque mutation administrative (bannissement, anonymisation, changement de rôle, approbation, résolution d'alerte fraude).
IP anonymisées dans les journaux applicatifs conformément à la doctrine CNIL.
Aucun mot de passe, aucun secret API, aucune donnée personnelle en clair dans les journaux.

Droits utilisateurs (RGPD)

Suppression de compte en cinq politiques explicites : désactivation et masquage réversibles immédiats, anonymisation, effacement privé, effacement complet (les trois irréversibles, délai de grâce de 30 jours). Annulation possible à tout moment pendant la fenêtre.
Protections légales pendant le délai : en cas de réquisition judiciaire (RGPD art. 17.3) ou d'investigation RGPD en cours (art. 18), la purge est suspendue et l'utilisateur reste protégé.
Blacklist post-suppression : empêche la création immédiate d'un compte sur une adresse anonymisée, sans jamais stocker l'email d'origine en clair.
Export des données (RGPD art. 15 et art. 20) : archive complète chiffrée par clé éphémère unique, lien signé valable 24 h, re-authentification obligatoire, notification email à chaque téléchargement.
Rectification (art. 16) : édition profil avec audit horodaté du changement.
Opposition (art. 21) : préférences notifications granulaires, désinscription newsletter en un clic.

Conformité DSA et signalements

Notice et action (DSA art. 16) : signalement de contenu présumé illégal ouvert à tous, anonyme ou identifié. Token de suivi opaque pour consulter le statut sans login. Catégorisation explicite couvrant propriété intellectuelle, sécurité enfance, fraude, terrorisme, harcèlement, etc.
Registre des violations de données (RGPD art. 33.5) : documentation interne des incidents, dates de notification aux autorités et personnes affectées, sévérité, scope, cause, mitigations.
Page « Politique de modération de contenu » publique et versionnée.

Cookies et consentement

Consentement granulaire en trois catégories (essentiels, analytics, marketing), versionné, durée de conservation conforme à la doctrine CNIL.
Retrait de consentement aussi simple que l'opt-in : un clic.
Analytics privacy-friendly, sans cookies tiers, chargés uniquement après opt-in explicite.

Sécurité du périmètre web

Politique de sécurité de contenu (CSP) stricte avec valeurs aléatoires par requête, périmètre d'autorisation minimal.
HSTS deux ans, preload-eligible.
Anti-clickjacking, anti-MIME sniffing, politique de référent restrictive.
Permissions par défaut interdisant micro, caméra, géolocalisation, capteurs et paiement. Opt-out FLoC.
Isolation cross-origin renforcée.
Proxies de confiance déclarés explicitement, allow-list stricte d'hôtes par environnement (prévention des injections Host header et des open redirects).

CSRF

Double-submit cryptographique sur les actions sensibles (connexion, déconnexion, suppression de preuves, consentement cookies) avec règle no-downgrade côté serveur.
Tokens classiques sur les actions de confort (marque-pages, alertes prix).
Test de régression automatique en CI : tout token ajouté sans wiring complet casse le build.

Notifications temps réel

Jeton signé court-vivant émis à chaque page, n'autorisant que les topics nécessaires au porteur (visiteur, hébergeur, modérateur, admin).
Si le canal temps réel est indisponible, le mode se désactive silencieusement, sans erreur visible côté utilisateur.

Vérifications externes (réseau et email)

Validation multi-fournisseurs avec quorum pour les listes noires IP : un résultat ambigu ou erroné ne déclenche pas de faux positif.
Vérification DNS, DKIM, certificats SSL avec gestion explicite des erreurs réseau pour éviter les faux négatifs.
IP anonymisées dans tous les journaux applicatifs liés à ces vérifications.

Standards et cadres adressés

Cadre	Périmètre
RGPD (UE 2016/679)	Articles 6.1.f, 7, 13, 15, 16, 17, 18, 20, 21, 32, 33.5, 34
DSA (UE 2022/2065)	Articles 16, 17
ANSSI	Recommandations sur les mots de passe, l'entropie, l'audit, le durcissement des containers
OWASP ASVS	Niveau 1 (sessions, tokens, headers, re-authentification)
OWASP Top 10 2025	Contrôle d'accès, défauts cryptographiques, mauvaises configurations, défauts d'authentification
CWE Top 25	XSS, SQL injection, exposition de données personnelles, oracles temporels, défauts d'authentification, CSRF, session fixation, secrets en dur
RFC	TOTP, JWT, désinscription un clic, RDAP, sémantique HTTP
CNIL	Doctrine cookies, anonymisation IP
EDPB	Anonymisation, privacy by design

Compatibilité

Cette release ne contient aucune migration de base de données rompant la compatibilité existante.
Aucune route publique n'a été retirée. Le déploiement est sans interruption visible côté utilisateur.
Les intégrateurs API peuvent commencer à consommer les nouveaux en-têtes de quotas et de cache sans changement de contrat.
Les hébergeurs intégrant les widgets ne sont pas affectés ; les clés widget restent valides.

[1.0.0] - 2026-06-05#

Bienvenue sur RackList#

Trouver l'hébergeur qui vous correspond#

Fiche hébergeur en quatre onglets#

Comprendre la qualité d'un hébergeur#

Donner et lire des avis#

Veiller et anticiper#

Compte, contrôle et vie privée#

Pour les hébergeurs#

Communauté et écosystème#

Plateforme, modération et confiance#

Sécurité des données et conformité#

Chiffrement des données personnelles#

Authentification#

Deux facteurs (2FA)#

Sessions et actions sensibles#

Anti-brute-force et anti-saturation#

Audit forensique#

Droits utilisateurs (RGPD)#

Conformité DSA et signalements#

Cookies et consentement#

Sécurité du périmètre web#

CSRF#

Notifications temps réel#

Vérifications externes (réseau et email)#

Standards et cadres adressés#

Compatibilité#