🟡 SEC-12: Containers tournent en root

[cutiips]

Parent: #1
Sévérité: 🟡 MOYENNE

Aucun Dockerfile ne crée d'utilisateur non-root. Les vulnérabilités de type path traversal (SEC-01/02/03) ont un impact maximal car le process tourne en root.

Remédiation: Ajouter USER appuser dans les Dockerfiles (attention aux permissions GPU).

[cutiips]

📋 Statut : reporté post-bêta

Les containers tournent actuellement en root (image de base nvcr.io/nvidia/pytorch:26.02-py3). La migration vers un utilisateur non-root nécessite des tests approfondis de compatibilité avec les GPU NVIDIA. Non bloquant pour la bêta — le DGX n'est pas accessible depuis internet (Tailscale + Cloudflare Tunnel sortant uniquement).