Security: Add .env.example, SECURITY.md and update .gitignore

.env.example

@@ -0,0 +1,16 @@
+# KAWA Environment Variables
+# Copier ce fichier en .env et remplir les valeurs
+
+# Headscale
+HEADSCALE_URL=https://headscale.du-senegal.com
+HEADSCALE_AUTHKEY=<your-authkey-here>
+
+# Telegram Bot Tokens (à récupérer depuis @BotFather)
+TELEGRAM_BOT_VPS=<your-telegram-token>
+TELEGRAM_BOT_LOCAL=<your-telegram-token>
+
+# Gitea Tokens (à générer depuis git.du-senegal.com)
+GITEA_TOKEN=<your-gitea-token>
+
+# Syncthing Device IDs (non sensibles)
+SYNCTHING_VPS_ID=AHF53QZ-ZYCQ2K7-556QBZ2-2UAYZL4-QNEQOGZ-PHZQIAG-4ZRXI3P-QLLJNA6

.gitignore

@@ -14,3 +14,9 @@ tokens.txt
 # Configs locales
 config.local.*
 *.local
+.env
+
+# Secrets
+.env
+*.env
+secrets/

SECURITY.md

@@ -0,0 +1,36 @@
+# Sécurité KAWA
+
+## ⚠️ Tokens et Clés
+
+Les tokens et clés ne doivent **JAMAIS** être commités dans git.
+
+### Fichiers à ne PAS commiter:
+- `.env` - Variables d'environnement
+- `*.key` - Clés privées
+- `secrets/` - Dossiers secrets
+- `*_token*` - Fichiers de tokens
+
+### Configuration sécurisée:
+
+1. Copier `.env.example` en `.env`
+2. Remplir les valeurs réelles
+3. Le fichier `.env` est ignoré par git
+
+### Clés à générer:
+
+| Service | Où générer |
+|---------|-----------|
+| Telegram Bot Token | @BotFather |
+| Headscale Auth Key | `headscale preauthkeys create --user kawa` |
+| Gitea Token | git.du-senegal.com → Settings → Applications |
+
+## 🔒 Clés compromises
+
+Si une clé est exposée publiquement:
+1. **Télégram**: @BotFather → Revoke Token
+2. **Headscale**: Générer une nouvelle clé
+3. **Gitea**: Regenerate le token
+
+---
+
+Dernière mise à jour: 2026-03-15