Modèle de Menace

Comprendre précisément ce qu'ITYLOS protège, et surtout, ce qu'il ne peut pas empêcher.

Pourquoi un Modèle de Menace ?

Aucun système n'est infaillible. En cybersécurité, la confiance naît de la transparence. Le "Modèle de Menace" (Threat Model) définit le périmètre d'efficacité d'ITYLOS. Il expose clairement les vecteurs d'attaque contre lesquels la plateforme est conçue pour résister, ainsi que les limites techniques où la responsabilité revient à l'utilisateur et à son environnement (endpoint).

🛡️ Ce qu'ITYLOS protège (In-Scope)

Notre protocole a été spécifiquement pensé pour contrer les menaces liées à la rétention de données et à l'interception réseau lors d'un partage de secret.

Menaces neutralisées par le protocole

  • Interception réseau (MitM) Le transport de l'enveloppe chiffrée ou du lien de partage est protégé par le standard TLS 1.3 (HTTPS) empêchant l'écoute passive.
  • Fuite de données serveur (Data Breach) Si les bases de données d'ITYLOS étaient compromises, l'attaquant ne récupérerait que des blobs AES-256-GCM totalement indéchiffrables (Zero-Knowledge). La clé n'étant jamais stockée.
  • Conservation prolongée & Fouille d'historique Neutralisé par la suppression irréversible de la capsule après la première lecture ou son expiration temporelle. Le secret ne traîne pas pendant des années dans des boîtes mail ou des chats.
  • Lecture a posteriori par un tiers Si une personne accède à l'ordinateur de l'expéditeur ou du destinataire après l'événement de lecture, le lien sera déjà "brûlé" (Erreur 404 - Introuvable).
  • Altération de la donnée en transit Le mode GCM de l'algorithme AES garantit l'authenticité et l'intégrité de la capsule. Si l'enveloppe est modifiée frauduleusement sur le réseau, le déchiffrement échouera localement et le secret ne s'affichera pas.

Hypothèses de sécurité (Trust Model)

Le fonctionnement d'ITYLOS repose sur certaines conditions préalables concernant votre environnement. Si ces hypothèses sont fausses, la sécurité de la transmission est compromise.

Ce que nous considérons comme "Sain"

  • Le poste client (Endpoints) L'appareil physique de l'expéditeur et celui du destinataire ne sont pas compromis par un malware, un enregistreur de frappe (Keylogger) ou un logiciel espion.
  • L'intégrité du navigateur Le navigateur utilisé pour chiffrer/déchiffrer n'est pas altéré par des extensions malveillantes capables de lire la mémoire locale ou les champs de formulaire.
  • L'implémentation de la Web Crypto API Le générateur de nombres pseudo-aléatoires (CSPRNG) fourni par le système d'exploitation et le navigateur fonctionne correctement et génère une entropie mathématiquement forte.
  • Le canal de distribution du lien L'expéditeur parvient à faire parvenir le lien (l'URL contenant le fragment #key) au destinataire légitime de manière fiable, sans interception immédiate.
La limite inhérente aux applications Web Contrairement à une application compilée installée en dur sur votre ordinateur, ITYLOS est une application Web. Bien que nous ne puissions pas déchiffrer vos données, vous devez faire confiance au fait que le serveur ITYLOS vous livre bien le code JavaScript légitime au moment précis de votre visite. C'est une limite universelle acceptée pour tous les outils de cryptographie dans le navigateur (Browser-based cryptography).

⚠️ Ce qu'ITYLOS ne protège PAS (Limites)

La cryptographie ne résout pas les problèmes humains ni les failles liées à l'environnement d'exécution (Endpoint). Voici ce qui échappe techniquement et volontairement à notre contrôle.

Menaces hors périmètre

  • Le facteur humain (Copie volontaire) Nous ne pouvons physiquement pas empêcher un destinataire de faire un copier-coller du secret, d'utiliser l'outil "Capture d'écran" de son système, ou de prendre le moniteur en photo avec son téléphone (Analog Hole).
  • Phishing & Ingénierie Sociale Si l'expéditeur est manipulé par un attaquant et lui transmet volontairement le lien généré, le système fonctionnera normalement et livrera le secret à l'attaquant.
  • Malware sur le poste (Endpoint Compromise) Si un malware lit la mémoire RAM du navigateur du destinataire pendant qu'il affiche le secret en clair, le chiffrement de transit n'est plus d'aucune utilité.
  • Interception du canal de distribution Si l'email ou le message Slack contenant le lien ITYLOS (avec sa clé #key) est intercepté par un tiers avant que le destinataire légitime ne clique dessus. (Conseil : Ajoutez un mot de passe optionnel à la capsule et transmettez-le par un tout autre canal, comme un SMS).

🛑 Ce qu'ITYLOS n'est pas

Il est crucial de choisir le bon outil pour le bon besoin. ITYLOS est conçu pour un cas d'usage extrêmement précis : la transmission éphémère (Fire and Forget).

Usages inadaptés

  • Un gestionnaire de mots de passe global Des outils comme Bitwarden ou KeePass sont conçus pour stocker vos identifiants de manière persistante et structurée. ITYLOS est conçu uniquement pour les transmettre à quelqu'un d'autre.
  • Une messagerie chiffrée asynchrone Pour des conversations continues et sécurisées nécessitant une authentification mutuelle forte et vérifiable (Signal, Session, PGP), ITYLOS n'est pas l'outil adapté.
  • Un coffre-fort cloud collaboratif Si vous souhaitez partager un document qui doit être consulté, édité ou téléchargé de multiples fois par plusieurs personnes sur une longue période, orientez-vous vers un cloud Zero-Knowledge dédié (comme Proton Drive ou Tresorit).

Poursuivre l'audit de sécurité

Architecture

Comment fonctionne techniquement le chiffrement local.

Politique de Sécurité

Divulgation responsable et signalement de vulnérabilités.

Registre Public

Accédez au journal cryptographique append-only en temps réel.

Le Manifeste

Comprendre notre philosophie sur le droit à l'oubli numérique.