TESTASECRETTESTASECRET
Sécurité maximale

Protection des Données

Découvrez les mesures techniques avancées que nous mettons en œuvre pour garantir la confidentialité et la sécurité de vos secrets.

Notre Engagement Sécurité

TESTASECRET a été conçu avec la sécurité comme priorité absolue. Nous utilisons les mêmes standards de chiffrement que les institutions bancaires et militaires. Même nos équipes techniques ne peuvent pas lire vos secrets - c'est le principe du chiffrement de bout en bout.

Chiffrement de Bout en Bout

AES-256-GCM

Vos secrets sont chiffrés avec l'algorithme AES-256-GCM(Advanced Encryption Standard avec Galois/Counter Mode). C'est le même standard utilisé par les gouvernements et les institutions financières du monde entier.

Clé de 256 bits = 2²⁵⁶ combinaisons possibles
Authentification intégrée (GCM) contre les modifications
Vecteur d'initialisation (IV) unique pour chaque secret

Chiffrement Côté Client

Le chiffrement de vos secrets s'effectue directement dans votre navigateur, avant même que les données ne quittent votre appareil. Cela signifie que :

Zéro connaissance (Zero-Knowledge) : Nos serveurs ne voient jamais vos données en clair. Nous stockons uniquement des données chiffrées que nous ne pouvons pas déchiffrer.

Dérivation de Clés (PBKDF2)

Pour les secrets protégés par une question secrète, nous utilisons PBKDF2 (Password-Based Key Derivation Function 2)avec 100 000 itérations pour dériver une clé de chiffrement à partir de votre réponse.

Sel cryptographique unique pour chaque secret
Résistant aux attaques par dictionnaire
Normalisation des réponses (accents, casse)

Sécurité de l'Infrastructure

HTTPS Obligatoire

Toutes les communications sont chiffrées via TLS 1.3. Redirection automatique HTTP → HTTPS avec code 301.

HSTS Activé

HTTP Strict Transport Security force les navigateurs à utiliser HTTPS pendant 1 an (max-age=31536000).

CSP Strict

Content Security Policy empêche l'injection de scripts malveillants et les attaques XSS.

Anti-Clickjacking

X-Frame-Options: DENY empêche l'intégration de notre site dans des iframes malveillantes.

Headers de Sécurité Implémentés

HeaderValeurProtection
X-Frame-OptionsDENYClickjacking
X-Content-Type-OptionsnosniffMIME sniffing
X-XSS-Protection1; mode=blockXSS (navigateurs anciens)
Strict-Transport-Securitymax-age=31536000Downgrade attacks
Referrer-Policystrict-origin-when-cross-originFuite d'informations
Permissions-Policygeolocation=(), camera=()Accès aux capteurs
Content-Security-Policydefault-src 'self'...XSS, injection

Sécurité de l'Authentification

Mots de Passe

  • Hashage avec bcrypt (coût 12)
  • Sel unique généré automatiquement pour chaque utilisateur
  • Exigences de complexité (8+ caractères, majuscules, chiffres)

Authentification à Deux Facteurs (2FA)

  • TOTP (Time-based One-Time Password) compatible avec Google Authenticator
  • Codes de secours générés lors de l'activation
  • Secret 2FA chiffré en base de données

Protection Anti-Bruteforce

  • Verrouillage du compte après 5 tentatives échouées
  • Délai progressif entre les tentatives
  • Notification par email en cas de tentative suspecte

Stockage des Données

Base de Données

  • • Connexions chiffrées (TLS)
  • • Sauvegardes quotidiennes chiffrées
  • • Accès restreint par IP

Fichiers (S3)

  • • Chiffrement côté serveur (SSE)
  • • URLs signées avec expiration
  • • Isolation par utilisateur

Conformité et Bonnes Pratiques

Principes RGPD respectés
Minimisation des données collectées
Droit à l'oubli implémenté
Portabilité des données
Journalisation des accès
Tests de sécurité réguliers

Questions sur la Sécurité ?

Si vous avez des questions concernant nos mesures de sécurité ou si vous souhaitez signaler une vulnérabilité, contactez-nous :

AFRICA COWORKERS
Hub d'innovation - Enregistrement N° 228/MATDCL (2016)

Email : [email protected]