La sécurité des données chez Heirion : un engagement inébranlable

par | 14 Fév 2025 | Sécurité & Données numériques

À l’ère du tout numérique, confier ses données personnelles et confidentielles à une application est un acte de confiance.
Chez Heirion, nous avons pleinement conscience de cette responsabilité.
C’est pourquoi la sécurité et la confidentialité de vos données ne sont pas de simples options, mais le cœur même de notre mission.

🛡 Une sécurité de bout en bout, documentée dans l’app

Nous appliquons les standards les plus élevés de l’industrie, avec un chiffrement local systématique, des clés dérivées robustes et des enveloppes de sécurité multiples.
Voici les principaux mécanismes mis en œuvre dans l’application :

🔐 Chiffrement local AES-GCM avec DEK

Toutes vos données sensibles sont chiffrées localement avec l’algorithme AES-GCM à l’aide d’une clé de données (DEK) de 256 bits.
Chaque donnée chiffrée inclut un nonce aléatoire et un tag d’authentification, garantissant à la fois la confidentialité et l’intégrité de vos informations.

🧩 Enveloppes de sécurité pour la DEK

La DEK n’est jamais stockée en clair.
Elle est protégée par plusieurs enveloppes chiffrées, permettant des mécanismes de récupération indépendants et sécurisés :

  • Enveloppe mot de passe : la DEK est chiffrée par une clé dérivée de votre mot de passe via Argon2id, puis protégée en AES-GCM.

  • Enveloppe clé privée : la DEK est chiffrée à l’aide d’une clé issue de votre clé privée locale (jamais transmise au serveur).

  • Enveloppe de récupération : la DEK peut être chiffrée à partir d’un secret de récupération (par exemple, une réponse à une question de sécurité).

Ces enveloppes garantissent un déverrouillage local et une récupération contrôlée, sans jamais exposer vos données en clair.

⚙️ Dérivation Argon2id avec repli contrôlé

La dérivation des clés issues de votre mot de passe repose sur Argon2id, l’un des algorithmes de dérivation les plus sûrs actuellement.
Sur mobile, nous utilisons une implémentation native pour de meilleures performances.
En cas d’indisponibilité, une version JavaScript prend automatiquement le relais, avec des paramètres ajustés pour maintenir un équilibre optimal entre sécurité et rapidité.

🔒 Transport chiffré via NaCl box (X25519)

Lorsqu’un transfert est nécessaire (par exemple pour stocker un mot de passe chiffré), Heirion utilise la boîte scellée NaCl basée sur la courbe X25519.
Chaque envoi inclut une clé publique, un nonce et une clé éphémère générée côté client.
Ainsi, seul le détenteur de la clé privée correspondante peut déchiffrer le contenu.

🧠 Un modèle “zéro connaissance”

Heirion adopte une architecture dite de zéro connaissance :
nos serveurs ne détiennent jamais vos secrets en clair.
Les données sont chiffrées avant leur envoi et restent illisibles sans vos clés locales — qu’il s’agisse du mot de passe, de la clé privée ou du secret de récupération.

🌐 Connexions HTTPS et hébergement sécurisé

Toutes les communications passent exclusivement par HTTPS.
L’hébergement repose sur Supabase, offrant un chiffrement au repos, des contrôles d’accès stricts et un stockage isolé dans des buckets privés.
Aucune donnée ni fichier ne peut être consulté publiquement sans autorisation explicite.

📱 Chiffrement local avant envoi

Que ce soit pour vos documents, vos messages ou vos vidéos, tout est chiffré sur votre téléphone avant d’être envoyé.
Même en cas d’accès non autorisé aux serveurs, les données restent inutilisables sans vos clés personnelles.

🕊️ Accès des héritiers et récupération encadrée

L’accès post-mortem s’effectue uniquement selon les règles que vous avez définies.
Vos héritiers ou votre notaire ne peuvent déverrouiller que ce que vous avez prévu, grâce à des preuves et secrets détenus localement (clé privée, secret de récupération, etc.).
Aucune donnée sensible n’est déchiffrée côté serveur.

🏢 Stockage et fichiers chiffrés

Les données de l’application sont stockées dans des bases et buckets privés Supabase.
Les fichiers sont chiffrés côté client avant l’envoi, avec un format encapsulé (nonce + tag) permettant la vérification d’intégrité lors du déchiffrement.

✅ Ce que cela vous garantit

Même en cas d’incident — piratage, fuite, ou perte de l’appareil — vos données restent illisibles sans vos clés locales (mot de passe, clé privée ou secret de récupération).
Vous gardez ainsi le contrôle total et exclusif de vos informations.

📣 Chez Heirion, la sécurité n’est pas un argument marketing, c’est une promesse.

Nous croyons que la confiance est la base de tout service lié à l’héritage, à la mémoire et à la transmission.
Chaque ligne de code, chaque protocole, chaque serveur a été conçu avec la sécurité comme priorité absolue.
Avec Heirion, votre patrimoine numérique n’est pas seulement protégé : il est inviolable.

Découvrez d’autres articles qui pourraient vous intéresser