fix(web): durcir le parsing XML (defusedxml en dépendance dure) + exceptions précises

L'audit a identifié deux dettes de robustesse :

**1. XXE — fallback silencieux sur le parser stdlib non sécurisé**

Avant : ``corpus_utils.safe_parse_xml`` tentait ``defusedxml`` puis
fallback silencieux sur ``xml.etree.ElementTree.XMLParser`` (qui
n'a **pas** de protection XXE / Billion Laughs / DTD retrieval en
Python 3.8+). En cas d'absence de la dépendance, un attaquant
pouvait soumettre un manifeste ALTO/PAGE qui :

- déclenche une expansion exponentielle d'entités → ``MemoryError``
ou freeze ;
- résout des entités externes vers des fichiers locaux ou des URL
distantes → exfiltration ou SSRF.

Fix : ``defusedxml>=0.7.1`` ajouté dans ``[project] dependencies``
(dépendance dure, pas optionnelle). Plus de fallback : on importe
``defusedxml`` au top du module, et on capture explicitement
``defusedxml.DefusedXmlException`` (parent de ``EntitiesForbidden``,
``ExternalReferenceForbidden``, ``DTDForbidden``,
``NotSupportedError``) en plus de ``ET.ParseError``.

**2. ``except Exception`` masquant des bugs**

Plusieurs ``except Exception:`` dans ``engine_utils.py`` capturaient
silencieusement des erreurs qui ne devraient pas survenir (par ex.
``AttributeError`` sur un module mal écrit). Resserré aux
exceptions précises :

- ``check_engine`` : ``ImportError``, ``AttributeError``,
``pytesseract.TesseractNotFoundError``, ``OSError``.
- ``fetch_ollama_info`` : ``urllib.error.URLError``, ``OSError``,
``json.JSONDecodeError``, ``UnicodeDecodeError``.
- ``get_tesseract_langs`` : ``ImportError``, ``OSError``.

Tout autre type d'exception est désormais propagé pour ne pas
masquer un vrai bug en production.

**3. Lifespan FastAPI — log level corrigé**

``app._lifespan`` loguait en ``warning`` quand
``mark_orphaned_jobs_interrupted`` échouait. Si la base SQLite est
cassée au démarrage, c'est un signal opérationnel à remonter en
``error`` : l'app tourne dans un état dégradé (jobs zombies sur le
tableau de bord). ``except`` resserré à ``sqlite3.Error`` pour ne
capturer que les pannes BD légitimes.

Pytest : 3354 passed, 2 skipped, 0 failed. Ruff : All checks passed.

https://claude.ai/code/session_01Hsd7kL8yeCbXn1mA7GQK9L

picarones/web/app.py

@@ -26,6 +26,7 @@ logique métier vit dans les sous-modules :
 from __future__ import annotations
 
 import logging
+import sqlite3
 from contextlib import asynccontextmanager
 from pathlib import Path
 
@@ -70,8 +71,15 @@ async def _lifespan(app: FastAPI):
     # un store isolé soient effectivement vues par le lifespan.
     try:
         state.JOB_STORE.mark_orphaned_jobs_interrupted()
-    except Exception as exc:  # pragma: no cover — défense en profondeur
-        _logger.warning("[jobs] mark_orphaned_jobs_interrupted échoué : %s", exc)
+    except sqlite3.Error as exc:  # pragma: no cover — défense en profondeur
+        # Si la base de jobs est cassée au démarrage, on log en ``error``
+        # (pas ``warning``) — c'est un signal opérationnel : l'app
+        # tourne dans un état dégradé, le tableau de bord va être incorrect.
+        _logger.error(
+            "[jobs] mark_orphaned_jobs_interrupted ÉCHOUÉ — "
+            "base SQLite inaccessible (%s) : le tableau de bord "
+            "affichera des jobs zombies.", exc,
+        )
     yield
 
 

picarones/web/corpus_utils.py

@@ -7,11 +7,15 @@ ZIP avec garde-fous (taille décompressée, nombre de fichiers).
 
 from __future__ import annotations
 
-import xml.etree.ElementTree as ET
 import zipfile
 from pathlib import Path
 from typing import Optional
 
+import xml.etree.ElementTree as ET
+
+import defusedxml
+import defusedxml.ElementTree as _SafeET
+
 from picarones.web.state import IMAGE_EXTS
 
 # Garde-fous ZIP-bomb pour l'upload
@@ -27,17 +31,23 @@ MAX_ZIP_FILES = 2000
 # ──────────────────────────────────────────────────────────────────────────
 
 def safe_parse_xml(xml_bytes: bytes) -> Optional[ET.Element]:
-    """Parse du XML en désactivant les entités externes (protection XXE)."""
-    try:
-        import defusedxml.ElementTree as SafeET
-        return SafeET.fromstring(xml_bytes)
-    except ImportError:
-        pass
-    # Fallback : parser standard
-    parser = ET.XMLParser()
+    """Parse du XML en bloquant les entités externes (protection XXE).
+
+    Délègue à :mod:`defusedxml` (dépendance dure du projet) qui durcit
+    le parser stdlib contre :
+
+    - **XXE** (``XML External Entity``) — résolution d'entités vers
+      des fichiers locaux ou des URL distantes ;
+    - **Billion Laughs** — expansion exponentielle d'entités ;
+    - **DTD retrieval** — fetch d'une DTD distante.
+
+    Retourne ``None`` si le payload n'est pas un XML valide ou si
+    ``defusedxml`` détecte une attaque (``EntitiesForbidden``,
+    ``ExternalReferenceForbidden``, etc.).
+    """
     try:
-        return ET.fromstring(xml_bytes, parser=parser)
-    except ET.ParseError:
+        return _SafeET.fromstring(xml_bytes)
+    except (ET.ParseError, defusedxml.DefusedXmlException):
         return None
 
 

picarones/web/engine_utils.py

@@ -40,7 +40,13 @@ OLLAMA_VISION_FAMILIES = frozenset({
 # ──────────────────────────────────────────────────────────────────────────
 
 def check_engine(engine_id: str, module_name: str, label: str = "") -> dict:
-    """Vérifie qu'un moteur OCR local est installé et retourne son statut."""
+    """Vérifie qu'un moteur OCR local est installé et retourne son statut.
+
+    On ne fait que ``__import__(module_name)`` + ``getattr(mod, "__version__")`` —
+    seules ``ImportError`` et ``AttributeError`` peuvent légitimement
+    survenir. Tout autre type d'exception (panne disque, OSError…) est
+    propagé pour ne pas masquer un vrai bug.
+    """
     label = label or engine_id.replace("_", " ").title()
     try:
         __import__(module_name)
@@ -53,13 +59,15 @@ def check_engine(engine_id: str, module_name: str, label: str = "") -> dict:
         try:
             import pytesseract
             version = str(pytesseract.get_tesseract_version())
-        except Exception:  # noqa: BLE001
+        except (ImportError, pytesseract.TesseractNotFoundError, OSError):
+            # ``TesseractNotFoundError`` : binaire absent ; ``OSError`` :
+            # ``PATH`` manquant ; ``ImportError`` : racine du sous-import.
             version = "installé"
     elif installed:
         try:
             mod = __import__(module_name)
             version = getattr(mod, "__version__", "installé")
-        except Exception:  # noqa: BLE001
+        except (ImportError, AttributeError):
             version = "installé"
 
     return {
@@ -73,7 +81,14 @@ def check_engine(engine_id: str, module_name: str, label: str = "") -> dict:
 
 
 def fetch_ollama_info() -> tuple[bool, list[str]]:
-    """Vérifie la disponibilité d'Ollama et liste ses modèles en un seul appel HTTP."""
+    """Vérifie la disponibilité d'Ollama et liste ses modèles en un seul appel HTTP.
+
+    Capture explicitement ``URLError`` (Ollama pas démarré, port fermé,
+    timeout) et ``json.JSONDecodeError`` (réponse non-JSON inattendue).
+    Toute autre exception (par ex. ``OSError`` sur lecture réseau,
+    ``UnicodeDecodeError``) est aussi traitée comme "Ollama
+    indisponible" — c'est l'intention du caller (UX dégradée gracieuse).
+    """
     import urllib.error
     import urllib.request
     try:
@@ -81,19 +96,26 @@ def fetch_ollama_info() -> tuple[bool, list[str]]:
             if r.status != 200:
                 return False, []
             data = json.loads(r.read().decode())
-        models = [m.get("name", "") for m in data.get("models", [])]
-        return True, models
-    except Exception:  # noqa: BLE001
+    except (urllib.error.URLError, OSError, json.JSONDecodeError, UnicodeDecodeError):
         return False, []
+    models = [m.get("name", "") for m in data.get("models", [])]
+    return True, models
 
 
 def get_tesseract_langs() -> list[str]:
-    """Liste les langues Tesseract installées (avec fallback éditorial)."""
+    """Liste les langues Tesseract installées (avec fallback éditorial).
+
+    ``TesseractNotFoundError`` quand le binaire est absent du ``PATH``,
+    ``ImportError`` si pytesseract n'est pas installé, ``OSError`` sur
+    appel système échoué — tous traités comme "lister les langues
+    indisponible, fallback à la liste éditoriale historique".
+    """
     try:
         import pytesseract
         langs = pytesseract.get_languages(config="")
         return sorted(lg for lg in langs if lg != "osd")
-    except Exception:  # noqa: BLE001
+    except (ImportError, OSError):
+        # ``pytesseract.TesseractNotFoundError`` hérite d'``OSError``.
         return ["fra", "lat", "eng", "deu", "ita", "spa"]
 
 

pyproject.toml

@@ -31,6 +31,10 @@ dependencies = [
     "tqdm>=4.66.0",
     "numpy>=1.24.0",
     "jinja2>=3.1.0",
+    # XML parsing sécurisé contre les attaques XXE / Billion Laughs.
+    # Utilisé par ``picarones.web.corpus_utils`` pour le parsing ALTO/PAGE
+    # quand un utilisateur uploade un corpus XML.
+    "defusedxml>=0.7.1",
 ]
 
 [project.urls]