Principe fondamental
Solo2 crée un tunnel privé entre deux personnes. Direct. Sans intermédiaires.
Notre serveur fait une seule chose : présenter les deux extrémités du tunnel pour qu'elles se trouvent. Pour cela, il a besoin du strict minimum — les identifiants des deux pairs — qu'il conserve en mémoire RAM pendant les millisecondes que dure la présentation. À l'instant où les deux appareils se sont trouvés, ces données sont effacées de la mémoire. Elles ne sont jamais, à aucun moment, écrites sur un disque.
Une fois connectés, le serveur disparaît. Il ne participe pas à la conversation. Il ne la voit pas. Il ne la stocke pas. Il ne sait pas combien de temps elle dure, ni à quelle fréquence vous parlez, ni de quoi vous parlez.
Nous ne vous demandons pas de nous croire. Nous vous demandons de vérifier :
Test 1 — Le serveur est superflu.
Une fois le tunnel direct établi, notre serveur n'y participe plus. S'il tombait à ce moment-là, votre conversation continuerait sans interruption. Tant que vos appareils sont allumés et connectés à internet, le tunnel est à vous. Nous n'y sommes plus.
Test 2 — Envoyez un fichier de 10 gigaoctets.
Non seulement ce sera rapide — mais notre serveur s'en fiche complètement. Essayez d'envoyer des fichiers de 10 gigaoctets ou plus en continu pendant 24 heures. Notre serveur ne s'en rendra même pas compte, parce qu'il n'intervient pas. Essayez ça avec n'importe quel autre service de messagerie.
Test 3 — Parlez de télescopes.
Passez un après-midi à parler avec quelqu'un de télescopes, ou de cannes à pêche, ou de n'importe quoi que vous n'avez jamais cherché sur internet. Attendez quelques jours. Aucune pub pour des télescopes n'apparaîtra nulle part. Vos mots n'ont jamais quitté votre tunnel.
Vos données, votre responsabilité.
C'est notre plus grande qualité et, soyons honnêtes, ce qui vous demandera le plus d'adaptation. Vos messages, fichiers et contacts vivent dans un coffre-fort chiffré sur votre appareil. Il n'existe aucune copie sur aucun serveur. Ils sont protégés par 24 mots — le même niveau de sécurité que Bitcoin. Mais ils ne sont qu'à un seul endroit, sauf si vous installez Solo2 sur un second appareil — les deux coffres se synchroniseront automatiquement quand ils seront connectés en même temps. Vous pouvez aussi exporter une sauvegarde chiffrée — ou une copie lisible dans des formats standards pour emporter vos données où vous voulez. Ici, aucun cloud ne viendra vous sauver si vous perdez votre unique appareil. Vos données sont les vôtres, avec toutes les conséquences.
En détail
Le serveur de Solo2 est complètement aveugle. Il ne sait pas à qui vous parlez, ce que vous dites, ni quels fichiers vous partagez. Même les signaux techniques qui établissent la connexion entre les appareils ne sont pas lisibles par le serveur — ils voyagent chiffrés de bout en bout.
Vos messages transitent directement entre appareils, chiffrés de bout en bout. Votre historique vit chiffré dans votre navigateur, jamais sur notre serveur.
Les clés de chiffrement changent automatiquement à chaque message. Chaque message est chiffré avec une clé unique qui est supprimée immédiatement après utilisation. C'est ce qu'on appelle techniquement le Double Ratchet, et cela signifie que même si quelqu'un obtenait une clé, il ne pourrait lire qu'un seul message — pas la conversation. De plus, la sécurité se restaure automatiquement après chaque tour de communication : une clé compromise devient inutile dès que le message suivant est échangé.
Lorsqu'une connexion directe entre appareils n'est pas possible (par exemple, en raison de restrictions réseau), un serveur miroir (techniquement appelé TURN) est utilisé : les données sont reflétées d'un appareil à l'autre, mais le miroir n'est pas conscient de ce qu'il reflète — tout transite chiffré de bout en bout et le serveur ne peut pas le lire. De plus, tous les paquets sont complétés à une taille uniforme pour empêcher un observateur de déduire des informations en analysant la taille ou la fréquence du trafic.
Vous pouvez toujours voir dans l'application quel type de connexion vous utilisez — directe ou via le serveur miroir — et agir en conséquence.
Votre clé maîtresse est générée aléatoirement avec 256 bits d'entropie réelle — le même niveau que Bitcoin. Lors de la création de votre compte, Solo2 génère une clé unique représentée sous forme de 24 mots. Votre mot de passe protège l'accès au service. Vos 24 mots sont la clé de vos données. Ce sont deux clés différentes pour deux portes différentes.
Même si notre serveur disparaît, vos données survivent. Avec vos 24 mots, vous pouvez accéder à votre coffre-fort local sans connexion au serveur. Vos données sont les vôtres — vraiment.
1. Données que nous avons sur le serveur
1.1 Votre compte utilisateur
Voici tous les champs qui existent dans votre fiche. Il n'y en a pas d'autres.
| Donnée | Pourquoi | Protection | Durée |
|---|---|---|---|
| Nom d'utilisateur | Pour que vous puissiez vous connecter | Texte brut (public par conception) | Jusqu'à la suppression de votre compte |
| Mot de passe | Authentification | Protégé par Argon2id (recommandé par OWASP, résistant aux attaques par matériel spécialisé). Nous ne stockons jamais votre mot de passe réel | Jusqu'à la suppression de votre compte |
| Clé maîtresse enveloppée | Pour que vous puissiez ouvrir votre coffre-fort en vous connectant avec votre mot de passe, sans saisir les 24 mots à chaque fois. Si vous perdez vos mots, cette enveloppe est votre récupération | Bloc opaque (80 octets) chiffré avec une clé dérivée de votre mot de passe — le serveur ne peut pas l'ouvrir | Jusqu'à la suppression de votre compte |
| Empreinte de récupération | Pour vérifier que vos 24 mots sont les bons lorsque vous récupérez l'accès à votre compte — sans que le serveur ne les voie jamais | Empreinte irréversible (SHA-256, 64 caractères). Elle ne révèle rien de vos mots ni de votre clé | Jusqu'à la suppression de votre compte |
| Nom public | Pour que vos contacts vous reconnaissent | Texte brut (vous le choisissez) | Jusqu'à ce que vous le changiez ou supprimiez votre compte |
| Code de liaison | Votre adresse au sein de Solo2 — comme un numéro de téléphone. C'est ce que vous partagez avec quelqu'un pour qu'il vous trouve et vous envoie une demande de connexion | Texte brut, unique (~10 caractères) | Jusqu'à la suppression de votre compte |
| Solde du compte | Argent que vous avez ajouté à votre compte | Nombre (en centimes) | Jusqu'à la suppression de votre compte |
| Solde bonus | Bonifications reçues (promotions). Consommées avant le solde économique | Nombre (en centimes) | Jusqu'à la suppression de votre compte |
| Type de compte | Votre plan : standard, fondateur ou platine (admin existe uniquement pour les comptes d'administration) | 1 octet (entier) | Jusqu'à ce qu'il change ou que vous supprimiez votre compte |
| État du compte | La situation de votre compte : actif, en période d'essai, mis en pause par vous, ou en période de grâce. Si vous mettez votre compte en pause, c'est ce champ qui s'en souvient | 1 octet (entier) | Jusqu'à ce qu'il change ou que vous supprimiez votre compte |
| Marqueur de coupure de service | Indique quand le service a été coupé : il est posé par un administrateur lors de la suspension d'un compte, ou par le système lorsque votre solde atteint zéro (c'est le début de la période de grâce). Sur un compte à jour, il vaut 0 | Horodatage numérique (0 = aucune coupure) | Jusqu'à ce que le compte soit réactivé — recharge ou levée — ou supprimé |
| Date et heure d'inscription | Quand vous avez créé votre compte | Date et heure complète (timestamp) | Permanent |
| Identifiants internes | Le système a besoin de deux codes internes pour se référer à vous sans utiliser votre nom d'utilisateur. L'un est votre ID principal et l'autre un code de référence. Les deux sont opaques — ils ne signifient rien en dehors du système | Deux codes aléatoires de 24 caractères chacun (ex : u_7kX9mP2...). Ils ne contiennent ni votre nom, ni date, ni donnée personnelle — ils sont purement aléatoires | Jusqu'à la suppression de votre compte |
| Version de sécurité | Quelle version de l'algorithme de protection du mot de passe a été utilisée | Nombre interne | Jusqu'à la suppression de votre compte |
| Indicateurs d'état | Flags techniques (si votre solde a changé, si le mode sécurité maximale est actif) | 1 octet — l'équivalent d'une seule lettre. Rien de plus n'y tient | Jusqu'à la suppression de votre compte |
Pour te donner une idée du volume : ton registre complet occupe environ 400 octets — moins que ce paragraphe. Ce sont tes noms (inventés si tu veux), une empreinte de ton mot de passe (taille fixe, 128 caractères), ta clé maîtresse chiffrée (un bloc opaque de 80 octets que nous ne pouvons pas lire), une empreinte de récupération (64 caractères qui ne révèlent rien), deux nombres pour ton solde, quelques dates et quatre octets de configuration. C'est tout ce que tu représentes sur notre serveur.
1.2 Sessions actives
| Donnée | Pourquoi | Protection | Durée |
|---|---|---|---|
| Hash du jeton de session | Maintenir votre connexion active | Empreinte irréversible (SHA-256). Le jeton original n'est jamais stocké sur le serveur | 24 heures — ensuite supprimé complètement |
| Date de création | Pour que le système sache quand elle a été créée — utile pour le nettoyage automatique | Horodatage numérique (secondes unix) | Supprimé avec la session |
| Date d'expiration | La session expire 24 heures après sa création. Elle n'est pas renouvelée par l'utilisation — elle a une date d'expiration fixe | Horodatage numérique (création + 24 heures) | 24 heures — ensuite supprimé complètement |
À la déconnexion ou à l'expiration, la ligne est entièrement supprimée de la base de données. Aucune trace ne subsiste de l'existence de la session.
1.3 Demandes de liaison
| Donnée | Pourquoi | Protection | Durée |
|---|---|---|---|
| ID du demandeur | Savoir qui a envoyé la demande | Code interne de 24 caractères aléatoires | 3 jours — puis supprimé automatiquement |
| ID du destinataire | Savoir à qui elle est destinée | Code interne de 24 caractères aléatoires | 3 jours — puis supprimé automatiquement |
| Statut | En attente / acceptée / refusée | 1 octet (entier : 0=en attente, 1=acceptée, 2=rejetée) | Supprimé à la résolution ou à l'expiration (3 jours) |
| Date de création | Savoir quand la demande a été créée pour pouvoir la supprimer automatiquement | Horodatage numérique (secondes unix) — 4 à 8 octets | 3 jours — puis supprimé automatiquement |
Note importante : Tant que la demande est en attente (maximum 3 jours), le serveur sait effectivement que l'utilisateur A a demandé à se connecter à l'utilisateur B. Au bout de 3 jours, la demande est automatiquement supprimée. Une fois le lien accepté, le serveur ne conserve pas la relation. Ta liste de contacts n'existe que dans ton navigateur, chiffrée.
1.4 Code de liaison
| Donnée | Pourquoi | Protection | Durée |
|---|---|---|---|
| Code de liaison (alias) | Identifiant court pour qu’un autre utilisateur vous trouve et demande à créer un tunnel | Code aléatoire de 8 caractères dérivé de votre ID interne | Permanent (c’est votre identifiant public de connexion) |
1.5 Abonnements push (notifications)
| Donnée | Pourquoi | Protection | Durée |
|---|---|---|---|
| Adresse de notification | Envoyer des notifications à votre navigateur | URL du fournisseur du navigateur (Google, Mozilla ou Apple) | Jusqu'à ce que vous désactiviez les notifications ou supprimiez votre compte |
| Clés de chiffrement push | Chiffrer la notification pour que seul votre navigateur puisse la lire | Standard Web Push | Identique à l'adresse |
1.6 Feedback (support)
| Donnée | Pourquoi | Protection | Durée |
|---|---|---|---|
| Votre message | Pour que nous puissions vous aider | Texte brut | Jusqu'à ce que nous le traitions |
| Votre ID utilisateur | Pour savoir qui a besoin d'aide | ID interne | Identique au message |
1.7 Signalisation de connexion (éphémère)
Pour que deux appareils puissent se connecter directement, ils doivent échanger des signaux techniques d'établissement de connexion (protocole WebRTC). Le seul moment où notre serveur garde en mémoire ton code utilisateur et celui de ton contact est pendant les millisecondes nécessaires au traitement de cette demande de connexion. Cela ne dure qu'un instant, uniquement en mémoire RAM et n'est jamais écrit sur disque. Les signaux eux-mêmes sont chiffrés de bout en bout
| Donnée | Pourquoi | Protection | Durée |
|---|---|---|---|
| Signaux de connexion | Établir la connexion directe entre appareils | Chiffrés de bout en bout avec la clé publique du destinataire. Le serveur ne peut ni les lire ni les modifier | 60 secondes |
1.8 Serveur miroir (relais TURN)
Si la connexion directe n'est pas possible, un serveur miroir est utilisé : les données le traversent comme la lumière à travers un miroir — elles sont reflétées d'un côté à l'autre, mais le miroir n'est pas conscient de ce qu'il reflète. Tous les paquets sont complétés à une taille uniforme pour qu'un observateur ne puisse pas distinguer un message d'un simple battement de connexion.
| Donnée | Pourquoi | Protection | Durée |
|---|---|---|---|
| Identifiant d'accès | Vous authentifier sur le serveur miroir | Votre identité est transformée en une empreinte irréversible — le serveur miroir ne sait pas qui vous êtes | 24 heures |
1.9 Paiements traités
Les paiements sont le seul point où il existe une friction réelle avec l'anonymat. Soyons honnêtes à ce sujet.
Lorsque vous vous inscrivez sur Solo2, vous choisissez un nom d'utilisateur (il peut être inventé), un mot de passe et un nom public (également inventé si vous le souhaitez). Aucune donnée ne vous relie à une personne réelle. Mais si vous effectuez un paiement par carte, votre établissement financier sait qui vous êtes.
Ce que nous recevons de la passerelle de paiement est uniquement une confirmation et un montant. Nous ne recevons ni ne stockons le nom du titulaire, le numéro de carte, la pièce d'identité ni aucune donnée personnelle du payeur. Ce sont de petits montants — juridiquement équivalents à un ticket de caisse, comme acheter une sucette dans un kiosque : le commerçant n'enregistre pas la pièce d'identité de l'acheteur.
De plus, l'enregistrement de paiement est délibérément dissocié de votre compte utilisateur. Il n'existe aucun champ dans notre base de données qui relie un ticket de paiement à un compte spécifique.
| Donnée | Pourquoi | Protection | Durée |
|---|---|---|---|
| Reçu de paiement | Comptabilité et obligations fiscales | Confirmation + montant. Aucune donnée personnelle du payeur. Aucun lien avec un compte utilisateur | Permanent (obligation légale) |
Concernant le pire scénario possible : Même avec une ordonnance judiciaire, la chaîne de traçabilité serait : votre carte → votre banque → la passerelle de paiement → notre ticket de paiement. Mais notre ticket ne contient aucun identifiant utilisateur. Ce n'est pas une négligence : c'est une décision de conception. Il n'existe aucun champ ni index dans notre base de données qui relie un paiement à un compte. La seule voie théorique serait une corrélation temporelle — si vous étiez le seul paiement sur une période donnée — mais même dans ce cas extrême, le compte ne contient pas d'informations permettant d'identifier la personne réelle : le nom d'utilisateur et le nom public peuvent être totalement inventés.
Tous nos revenus sont légaux et comptabilisés via la passerelle de paiement. Nous réglons les impôts correspondants. Mais l'anonymat du client est total de notre côté.
2. Données que nous n'avons PAS sur le serveur
Voici ce qui nous définit. Le serveur de Solo2 ne stocke ni n'a accès à :
- Vos messages — Ils voyagent directement entre les appareils, chiffrés de bout en bout. Le serveur ne les voit jamais.
- Vos fichiers — Comme les messages : directs et chiffrés.
- Votre liste de contacts — Elle existe uniquement dans votre navigateur, chiffrée dans La Bóveda.
- Votre historique de chat — Uniquement dans votre navigateur, chiffré.
- Votre localisation — Les GeoSellos sont calculés sur votre appareil et envoyés directement au destinataire. Le serveur ne les traite jamais.
- Analytiques d'utilisation — L'application Solo2 n'a aucun système d'analytiques, ni cookies de suivi, ni scripts tiers.
- Données de l'appareil — Nous ne collectons ni le modèle, ni la résolution, ni le système d'exploitation, ni aucune caractéristique de votre appareil.
- Métadonnées de communication — Nous ne savons pas avec qui vous parlez, quand, à quelle fréquence, ni pendant combien de temps.
À propos de votre adresse IP
Ton adresse IP n'est stockée dans aucune base de données. Dans les journaux techniques du serveur, les adresses IP sont transformées en empreintes irréversibles (hash) — utiles pour détecter des schémas d'abus, mais impossibles à inverser vers l'IP d'origine. Ces journaux sont automatiquement supprimés tous les 7 jours. Les signaux de connexion, qui pourraient contenir ton IP, sont chiffrés de bout en bout — le serveur ne peut pas les lire.
3. Données dans votre navigateur (Le Coffre-fort)
Tout ce qui suit réside exclusivement dans votre navigateur, chiffré avec AES-256-GCM (un standard de chiffrement de qualité militaire utilisé par les gouvernements et les entités financières). La clé est générée à partir de votre mot de passe via Argon2id (l'algorithme le plus résistant disponible contre les attaques par matériel spécialisé), et ce processus se déroule entièrement dans votre navigateur. Votre mot de passe n'est jamais envoyé au serveur.
Vos données sont chiffrées au repos — même si quelqu'un accédait au stockage de votre navigateur, il ne trouverait que des blocs chiffrés illisibles sans votre mot de passe.
Lorsque vous exportez une sauvegarde, elle est chiffrée avec la même protection (Argon2id + AES-256-GCM). Seule une personne connaissant votre mot de passe peut la déchiffrer. La seule exception est délibérée : la copie lisible — un ZIP standard conçu pour que vous puissiez lire vos données sans l'application — est créée sans chiffrement ; l'app vous en avertit et vous demande votre mot de passe avant de la générer.
| Donnée | Chiffrement | Contrôle |
|---|---|---|
| Messages | AES-256-GCM | Vous décidez quand les supprimer |
| Fichiers | AES-256-GCM | Vous décidez quand les supprimer |
| Contacts (paires) | AES-256-GCM | Vous décidez qui lier |
| État de vérification | AES-256-GCM | Vous vérifiez l'identité de chaque contact |
| Index de recherche | Chiffré avec des jetons irréversibles (HMAC) | Reconstruit à partir de vos messages |
| État de livraison | AES-256-GCM | Quels messages ont été livrés |
| Messages en attente | AES-256-GCM | File d'envoi quand il n'y a pas de connexion |
Stockage temporaire du navigateur
| Donnée | Type | Durée | Pourquoi |
|---|---|---|---|
| Session utilisateur | Mémoire locale du navigateur (localStorage) | Jusqu'à la déconnexion | Maintenir votre connexion |
| Version de l'appli | Mémoire locale du navigateur (localStorage) | Permanent | Détecter les mises à jour |
| Préférence de thème | Mémoire locale du navigateur (localStorage) | Permanent | Retenir votre thème visuel |
| Préférence de langue | Mémoire locale du navigateur (localStorage) | Permanent | Retenir votre langue |
| Mot de passe (mode sécurité maximale) | Mémoire d'onglet (sessionStorage) | Disparaît à la fermeture de l'onglet | Réinitialiser le chiffrement si vous rechargez la page |
Note sur la sécurité dans le navigateur
Solo2 fonctionne dans votre navigateur web. Vos données chiffrées sont protégées au repos, mais lorsque l'application est ouverte et vous affiche vos messages déchiffrés à l'écran, la sécurité dépend aussi de votre environnement :
- Extensions de navigateur : Une extension malveillante ayant accès aux pages que vous visitez pourrait, en théorie, lire ce qui est affiché à l'écran. Nous vous recommandons d'utiliser le moins d'extensions possible et uniquement provenant de sources fiables.
- Navigateur propre : Un navigateur mis à jour sans extensions inutiles est votre meilleur allié.
- Application native : À l'avenir, nous proposerons une application de bureau (Windows, Mac, Linux) qui fournira un niveau d'isolation supplémentaire en ne s'appuyant pas sur l'environnement du navigateur.
4. Connexions réseau
L'application Solo2
| Domaine | Motif | Donnée envoyée |
|---|---|---|
| solo2.net | API de l'application | Authentification, signalisation, présence |
| pay.menzuri.com | Passerelle de paiement | Uniquement si vous effectuez un paiement |
Aucun autre domaine. Aucun script externe. Pas de suivi CDN. La politique de sécurité du contenu (CSP) du serveur applique techniquement cela : toute tentative de chargement de ressources provenant d'autres domaines est bloquée par le navigateur .
Même pour découvrir l'adresse IP publique de votre appareil (nécessaire pour établir des connexions directes entre utilisateurs), nous utilisons notre propre serveur (techniquement appelé STUN). Nous ne déléguons pas à des services externes. Nous le gérons nous-mêmes.
La page de présentation
La page de présentation (solo2.net) — qui est indépendante de l'application — utilise un système de mesure anonyme hébergé sur nos propres serveurs en Allemagne :
| Domaine | Motif | Donnée envoyée |
|---|---|---|
| stats.menzuri.com | Mesure anonyme des visites | Page visitée (sans cookies, sans IP, sans identification) |
Ce système n'installe pas de cookies, n'enregistre pas votre adresse IP, ne vous identifie pas, ne vous suit pas entre les visites et ne partage pas de données avec des tiers. L'application Solo2 n'a ni ce système ni aucun autre type d'analytique.
5. Supprimer vos données
Il existe deux actions différentes, et il est important que vous connaissiez la différence :
Supprimer les données locales
Depuis les paramètres de l'application, vous avez deux options de suppression locale :
- Effacer mes données — Supprimez uniquement vos données (identité, coffre-fort, session) sans affecter les autres utilisateurs utilisant le même navigateur.
- Réinitialisation d'urgence — Effacez absolument tout : les données de tous les utilisateurs, Service Worker, le cache et les clés cryptographiques. Nécessite une double confirmation.
Dans les deux cas, votre compte sur le serveur existe toujours. Vous pouvez vous reconnecter, mais vos données locales seront irréversiblement perdues. Cela crée une toute nouvelle identité cryptographique : celui qui possédait votre précédente clé publique ne peut plus rien chiffrer à votre place. Si un contact précédent souhaite se reconnecter, il devra vous demander de vous connecter à nouveau et vous décidez de l'accepter ou non.
Récupération automatique entre appareils
Si vous perdez vos données sur un appareil et que vous en avez un autre connecté, Solo2 détecte la situation et vous propose de restaurer votre identité et votre coffre-fort automatiquement. La restauration transite chiffrée (Argon2id) par connexion directe entre vos appareils — sans passer par le serveur.
Supprimer votre compte du serveur
- toutes les lignes de la base de données associées à votre identifiant sont supprimées : compte, sessions, demandes, invitations, abonnements push, feedback.
- La suppression est atomique (tout ou rien) : soit tout est supprimé, soit rien n'est supprimé.
- Si tu supprimes ton compte, personne ne pourra accéder à tes anciens messages de notre côté, car nous ne conservons aucune copie.
- Les identifiants dans les journaux du serveur sont des empreintes irréversibles : un journal ne peut pas être relié à votre compte une fois celui-ci supprimé.
- Le Coffre-fort dans votre navigateur n'est pas automatiquement supprimé par cette action (nous n'avons pas accès à votre navigateur). Pour le supprimer, lancez d'abord la suppression nucléaire ou effacez les données du site dans votre navigateur.
5b. Votre clé maîtresse et vos 24 mots
Lors de la création de votre compte Solo2, une clé maîtresse est générée avec 256 bits d'entropie réelle (la même que celle utilisée par Bitcoin). Cette clé est représentée par 24 mots que vous seul connaissez. Votre mot de passe enveloppe cette clé pour la stocker chiffrée sur le serveur — le serveur ne peut pas la lire.
Cela signifie que vous disposez de deux clés indépendantes
Algorithmes exacts (vérifiable)
Génération : CSPRNG à partir du système d'exploitation (crypto.getRandomValues, 256 bits). Cryptage par clé principale : Argon2id (OWASP) pour dériver la clé wrapper + AES-256-GCM (cryptage authentifié) pour la protéger. Identité : Ed25519 (signature) + X25519 (échange). Messages : Double Ratchet avec ChaCha20-Poly1305 . Lorsque vous fermez l'onglet du navigateur, toutes les données sensibles disparaissent de la mémoire.
Comment votre clé maîtresse est protégée
| Couche | Ce que c'est | Où elle réside |
|---|---|---|
| Mot de passe | Accès au serveur. Enveloppe votre clé maîtresse | Dans votre mémoire + hash sur le serveur |
| Secret de l'appareil | Second facteur invisible, généré automatiquement à l'installation | Sur votre appareil (non extractible) |
| Clé maîtresse (24 mots) | 256 bits d'entropie réelle, générée aléatoirement. Niveau Bitcoin (BIP39) | Sur un papier que vous conservez + enveloppée sur le serveur |
| Rotation de clés | Chaque message utilise une clé unique détruite ensuite (Double Ratchet) | Automatique, transparent |
Si vous changez votre mot de passe
Changer votre mot de passe est instantané. Votre clé maîtresse est simplement ré-enveloppée avec le nouveau mot de passe — votre identité ne change pas, votre coffre-fort n'est pas re-chiffré, vos contacts ne sont pas affectés, et vos 24 mots restent les mêmes. C'est une opération de quelques millisecondes.
Récupération
Si vous perdez votre mot de passe, vous pouvez accéder à votre coffre-fort avec vos 24 mots — sans avoir besoin d'un serveur. Si vous perdez vos 24 mots, vous pouvez vous connecter avec votre mot de passe et le serveur vous renvoie votre clé enveloppée. Si vous perdez les deux, vos données sont irrécupérables. Comme avec Bitcoin, c'est la sécurité par conception.
6. Que se passe-t-il si quelqu'un accède au serveur sans autorisation
Si un attaquant obtenait un accès complet au serveur de Solo2, il obtiendrait :
- Noms d'utilisateur et noms publics
- Codes de liaison
- Clés publiques (inutiles sans la clé privée, qui est dans votre navigateur)
- Empreintes de mots de passe (inutiles sans une attaque par force brute extrêmement coûteuse grâce à Argon2id)
- Empreintes de jetons de session (inutiles sans le jeton original)
- Demandes de liaison en attente (IDs internes, expirent en 3 jours)
- Type de compte, soldes et dates d'inscription
- Reçus de paiement (sans pouvoir les relier à un utilisateur spécifique)
Ce qu'il n'obtiendrait PAS :
- Aucun message (ils n'ont jamais été sur le serveur)
- Aucun fichier (ils n'ont jamais été sur le serveur)
- Aucune liste de contacts (elle n'a jamais été sur le serveur)
- Aucun historique de chat (il n'a jamais été sur le serveur)
- Aucune clé privée de chiffrement (elles résident dans votre navigateur)
- Aucune adresse IP (elles ne sont pas enregistrées)
7. Notre engagement
Ce manifeste sera mis à jour à chaque changement pertinent dans la gestion des données. Si nous ajoutons un nouveau champ à la base de données, il apparaîtra ici. Si nous supprimons quelque chose, également.
La version en vigueur est toujours cette page.