Contexte : Une API REST permet de consulter des factures via un endpoint de type /api/invoices/123. Le Problème : En modifiant simplement l’identifiant dans l’URL, il est possible d’accéder à d’autres factures sans authentification supplémentaire. Contraintes : Vous devez démontrer l’accès non autorisé uniquement sur des comptes de test fournis. Aucune donnée réelle ne doit être consultée. Livrable attendu : Documenter la vulnérabilité IDOR, expliquer l’impact métier et proposer une correction basée sur une vérification stricte des autorisations côté serveur.