Chiffrement à Connaissance Nulle

Vos données sont chiffrées sur votre appareil avant d'atteindre nos serveurs. Nous n'avons aucune connaissance de votre mot de passe, de vos clés de chiffrement ou de vos informations personnelles. Même nous ne pouvons pas déchiffrer vos données.

Qu'est-ce que le Chiffrement à Connaissance Nulle?

Le chiffrement à connaissance nulle signifie que nous avons littéralement aucune connaissance de votre mot de passe, de vos clés de chiffrement ou de vos données déchiffrées. Tout est chiffré côté client avant d'atteindre nos serveurs.

Au lieu d'envoyer votre mot de passe, vous utilisez des signatures cryptographiques pour prouver que vous le connaissez sans le révéler. Imaginez que vous prouvez avoir une clé sans montrer la clé elle-même.

  • Le mot de passe reste sur votre appareil, toujours

  • Données chiffrées côté client avant téléversement

  • Même nous ne pouvons pas accéder à vos données chiffrées

  • Une violation de serveur ne peut pas exposer vos informations

Le Principe de Connaissance Nulle

Ce que nous pouvons et ne pouvons pas voir

Nous ne voyons JAMAIS:

  • Votre mot de passe (en clair ou chiffré)

  • Vos clés de chiffrement

  • Vos détails d'identité (noms, dates de naissance, adresses)

  • Vos justificatifs (cartes de crédit, pièces d'identité, permis)

  • Aucune donnée déchiffrée - tout est chiffré côté client

Nous voyons seulement:

  • Un hachage de votre preuve d'authentification (ne peut pas être inversé)
  • Votre salt unique pour la dérivation de clé
  • Blocs de données chiffrées (illisibles pour nous)
  • Numéros de téléphone chiffrés côté serveur (requis pour le routage SMS et appels)
  • Modèles d'utilisation anonymes (sans identifiants personnels)
Preuve à Connaissance Nulle

Comment Fonctionne la Connexion à Connaissance Nulle

Un processus cryptographique qui prouve votre identité sans révéler votre mot de passe

1

Demande de Salt

Le client demande votre salt unique (octets aléatoires) nécessaire pour dériver les clés de chiffrement de votre mot de passe.

2

Dérivation de Clé

Votre appareil dérive une clé de chiffrement maître à partir de votre mot de passe en utilisant PBKDF2 avec 600 000 itérations. Ce processus coûteux en calcul protège contre les attaques par force brute.

3

Génération de Preuve

Votre appareil crée une preuve cryptographique en utilisant HMAC-SHA256 avec votre clé dérivée. Cette preuve ne peut être générée que par quelqu'un qui connaît votre mot de passe.

4

Vérification de la Preuve

Le serveur compare le hachage de votre preuve avec le hachage stocké lors de l'inscription. S'ils correspondent, l'authentification réussit - le tout sans voir votre mot de passe.

5

Création de Session

Les cookies de session sont stockés sous forme de cookies HttpOnly, empêchant l'accès JavaScript et les attaques XSS.

Pourquoi C'est Important

L'authentification traditionnelle envoie votre mot de passe (chiffré en transit) au serveur où il est vérifié. Si le serveur est compromis pendant la transmission ou le stockage, les mots de passe sont à risque. Avec la connaissance nulle, votre mot de passe ne voyage jamais nulle part. Les attaquants interceptant le trafic réseau ou compromettant nos serveurs n'obtiennent rien d'utile - juste des hachages de preuves cryptographiques qui ne peuvent pas être inversées pour révéler votre mot de passe.

Détails Techniques

Implémentation Cryptographique

Dérivation de Clés

  • PBKDF2 avec 600 000 itérations

  • Fonction de hachage SHA-256

  • Salt unique de 32 octets par utilisateur

  • Clés séparées pour auth et chiffrement

Authentification par Mot de Passe

  • Génération de preuve cryptographique HMAC-SHA256

  • Vérification de preuve à connaissance nulle

  • Stockage de preuve hachée SHA-256

  • Protection contre les attaques temporelles

Chiffrement des Données

  • Chiffrement authentifié AES-256-GCM

  • Chiffrement côté client uniquement

  • Aucune connaissance du texte clair côté serveur

  • IV unique par opération

Sécurité de Session

Protection de Votre Session

Comment nous empêchons le détournement de session et les attaques XSS

Couches de Protection de Session

Plusieurs mécanismes de sécurité travaillent ensemble pour protéger votre session authentifiée:

Cookies HttpOnly

Les cookies de session stockés dans des cookies HttpOnly ne peuvent pas être accédés par JavaScript, empêchant le vol XSS

Politique SameSite

SameSite=Lax empêche les cookies d'être envoyés dans les requêtes inter-sites, bloquant les attaques CSRF

Flag Secure

Les cookies sont transmis uniquement via HTTPS, empêchant l'interception par homme du milieu

Jetons CSRF

Les opérations modifiant l'état nécessitent des jetons CSRF qui ne peuvent pas être falsifiés par les attaquants

Expiration de Session

Les sessions expirent automatiquement après 24 heures, limitant la fenêtre de compromission

Clé Principale Chiffrée

La clé de chiffrement principale est chiffrée avec une clé spécifique à la session, effacée à la déconnexion

Pourquoi C'est Important

Protection XSS

Même si un attaquant injecte du JavaScript malveillant dans votre navigateur, il ne peut pas accéder à vos cookies de session car les cookies HttpOnly ne sont pas exposés à JavaScript.

Protection CSRF

Les attaquants ne peuvent pas tromper votre navigateur pour faire des requêtes authentifiées à notre API car les cookies SameSite et les jetons CSRF bloquent les requêtes inter-sites.

Défense en Profondeur

Plusieurs couches de protection signifient que si un mécanisme de sécurité échoue, d'autres sont toujours en place pour protéger votre session.

Sécurité des Cookies

  • Le flag HttpOnly empêche l'accès JavaScript

  • Le flag Secure impose HTTPS

  • SameSite=Lax bloque les requêtes inter-sites

  • Portée de domaine explicite

En savoir plus sur notre politique de cookies

Stockage de Session

  • Clé principale chiffrée avec clé de session

  • Chiffrement AES-256-GCM

  • Expiration automatique

  • Nettoyage sécurisé de la mémoire à la déconnexion

En savoir plus sur notre politique de cookies

Foire Aux Questions

Que signifie réellement la connaissance nulle?
La connaissance nulle signifie que nous avons aucune connaissance de votre mot de passe ou de vos clés de chiffrement. Vous ne nous envoyez jamais votre mot de passe - au lieu de cela, vous prouvez que vous le connaissez à l'aide de signatures cryptographiques. Même si quelqu'un compromet nos serveurs, il ne peut pas accéder à vos données car nous n'avons pas les clés pour les déchiffrer.

En quoi est-ce différent de l'authentification traditionnelle par mot de passe?
Les systèmes traditionnels envoient votre mot de passe (même s'il est chiffré en transit) au serveur où il est haché et vérifié. Avec la connaissance nulle, votre mot de passe ne quitte jamais votre appareil. Au lieu de cela, vous dérivez une clé cryptographique de votre mot de passe et générez une preuve. Le serveur vérifie que cette preuve correspond à ce qui a été calculé lors de l'inscription - votre mot de passe réel n'est jamais transmis ni stocké.

Comment fonctionne la vérification de mot de passe à connaissance nulle?
Lorsque vous vous connectez, votre appareil dérive une clé de chiffrement à partir de votre mot de passe en utilisant PBKDF2 (600 000 itérations). Il crée ensuite une preuve cryptographique en utilisant HMAC-SHA256 avec cette clé. Le serveur compare un hachage de cette preuve avec ce qui a été stocké lors de l'inscription. Votre mot de passe ne quitte jamais votre appareil - seule une preuve que vous le connaissez.

Comment empêchez-vous le détournement de session?
Nous utilisons plusieurs couches de protection de session: les cookies HttpOnly empêchent JavaScript d'accéder aux cookies de session (bloquant les attaques XSS), SameSite=Lax empêche les cookies d'être envoyés dans les requêtes inter-sites (bloquant CSRF), les flags Secure imposent la transmission HTTPS uniquement, et les jetons CSRF protègent les opérations modifiant l'état. Même si un attaquant injecte du code malveillant, il ne peut pas voler votre session.

Où sont stockées mes clés de chiffrement?
Votre clé de chiffrement principale est dérivée de votre mot de passe à l'aide de PBKDF2 avec votre salt unique (600 000 itérations). Elle n'est jamais stockée en texte clair - seulement chiffrée avec une clé spécifique à la session dans sessionStorage. Lorsque vous fermez le navigateur ou vous déconnectez, toutes les clés sont effacées en toute sécurité de la mémoire.

Que se passe-t-il en cas de compromission de WIGGWIGG?
Même si des attaquants compromettent complètement nos serveurs, ils ne peuvent pas déchiffrer vos données. Nous ne stockons pas les mots de passe - seulement des hachages de preuves d'authentification qui ne peuvent pas être inversés. Nous ne stockons pas les clés de chiffrement - vous les dérivez de votre mot de passe. Toutes vos données sensibles sont chiffrées côté client avant d'atteindre nos serveurs. Le pire qu'ils pourraient obtenir sont des blocs chiffrés qu'ils ne peuvent pas lire.

Prêt à Découvrir la Vraie Confidentialité?

Rejoignez WIGGWIGG et découvrez la sécurité à connaissance nulle de première main.

Commencer Retour à la Sécurité