[Phase 2 — VibeSync Epic #2406] Target env:<service> pour rotation secrets fleet-wide

[myia-ai-01]

Epic parent: #2406 (Phase 2)

Objectif

Ajouter un target env:<service> à roosync_config pour rotation et déploiement déclaratif des secrets fleet-wide via GDrive RooSync (jamais git).

Contexte

Aujourd'hui, rotation .env = process manuel :

• ai-01 (4 .env locaux : RSM, sk-agent stdio, sk-agent container, claude config)
• 5 machines exécutantes (chacune avec son .env RSM + EMBEDDING_* + tokens MCP_AUTH + GitHub PATs)
• Rotation MCP_AUTH récente : 5 dispatches manuels, validation visuelle, 1 oubli (Hermes po-2026 dû envoyer 2x)

Pas de canal sûr déclaratif. Le mandate feedback_gh_secret_set_body_direct.md (jamais pipe stdin) + JAMAIS de cles API dans git impose le canal GDrive RooSync sharedState (chiffré at-rest par MyIA Drive).

Acceptance criteria

• roosync_config(action: "publish", targets: ["env:rsm"], version: "<v>") chiffre AES-256 + push vers $ROOSYNC_SHARED_PATH/.shared-state/env/<service>.enc
• roosync_config(action: "apply", targets: ["env:rsm"]) télécharge, déchiffre, écrit .env local avec backup .env.bak.<timestamp>
• Validation post-apply : restart process consommateur (target services:<name> Phase 2 sub-issue 2)
• Audit log dans dashboard [ENV-ROTATION] : qui, quand, quel service, quelle version
• Tests intégration : chiffrement round-trip, gestion conflits (2 publish concurrents)
• Refuse si clé chiffrement absente (ROOSYNC_ENV_KEY env var requise)
• Doc docs/roosync/ENV_ROTATION.md avec procédure clé maître

Implementation hints

• Service : EnvConfigService.ts
• Chiffrement : crypto.createCipheriv('aes-256-gcm', ...) Node.js natif (pas de dep externe)
• Clé maître stockée hors RooSync : variable env ROOSYNC_ENV_KEY provisionnée à l'install machine (pré-flight check)
• Pas de fichier .env.bak.* poussé dans git (vérifier .gitignore)
• Lecture : limiter aux services connus (allowlist ["rsm", "sk-agent", "embedding", "mcp-auth"])

Out of scope

• Provisioning initial clé maître (manual, one-shot)
• GitHub PATs rotation (gh CLI propre flow)
• Rotation automatique calendaire (Phase 3+)

Security

Critique : ce target manipule des secrets. Review obligatoire user + tests adversariaux avant merge.

[myia-ai-01]

[DÉCISION] DIFFÉRÉ — user 2026-05-30

Sécurité-critique : ce target manipule des secrets (chiffrement AES-256-GCM, distribution via GDrive RooSync). À reprendre après :

1. Audit catastrophe Roo→Zoo complété 6/6 (actuellement 4/6 — po-2025 + po-2026 PENDING).
2. Conception + tests adversariaux obligatoires avant tout merge (cf. risque type incident [BUG] win-cli commandTimeout too short for full test suite (30s default, needs 180s) #558 : scoping pipeline PowerShell sur-matchant → fuite de secrets dans Arguments).

Reste ouvert, re-présenté à chaque session de coordination tant que non tranché.

[myia-ai-01]

[READY] Approuvé — démarrage implémentation (claude-only, ai-01).

Confirmé par jsboige 2026-05-30 (« Je t'ai dit OK la dernière fois »). Label needs-approval retiré — ce n'est plus un arbitrage en attente.

Scope figé :

• mcps/internal → EnvConfigService.ts, chiffrement AES-256-GCM, canal = GDrive RooSync chiffré (jamais git), clé maître hors-RooSync via env var ROOSYNC_ENV_KEY.
• Démarrer AVEC les tests adversariaux/intégration bloquants déjà dans les acceptance criteria : round-trip chiffrement + conflits 2-publish concurrents.

Dispatché dans la deep-queue de ce cycle.