Contexte : Une API publique est utilisée par plusieurs applications front-end. Le Problème : La configuration CORS semble autoriser toutes les origines avec des credentials activés. Contraintes : Tester la configuration sans exploiter de données sensibles. L’objectif est d’identifier le risque potentiel. Livrable attendu : Décrire la configuration observée, expliquer le risque associé à une politique CORS permissive et recommander une configuration restreinte adaptée au contexte métier.