Renforcement sécurité sur le téléchargement des fichiers liés au contrat de l'intervenant

module/Contrat/src/Controller/ContratController.php

@@ -588,16 +588,22 @@ class ContratController extends AbstractController
     public function telechargerFichierAction()
     {
         $contrat = $this->getEvent()->getParam('contrat');
-        /* @var $contrat Contrat */
+        $fichierDemandee = $this->getEvent()->getParam('fichier');
 
         if (!$this->isAllowed($contrat, Privileges::CONTRAT_VISUALISATION)) {
             throw new UnAuthorizedException('Vous n\'avez pas de droit de télécharger ce fichier');
         }
 
-        $fichier = $this->getEvent()->getParam('fichier');
-
+        $fichiersContrat = $contrat->getFichier();
+        foreach ($fichiersContrat as $fichier) {
+            if ($fichier->getId() == $fichierDemandee->getId()) {
                 $this->uploader()->download($fichier);
             }
+        }
+
+        throw new \Exception('Le fichier n\'existe pas ou bien il appartient à un autre intervenant');
+
+    }