Vos messages ne sont lisibles que par vous et vos destinataires. Pas même par nous.
Chez EchoPass, nous ne pouvons pas lire vos messages. Cela n'est pas une promesse commerciale : c'est une contrainte technique. Vos messages sont chiffrés avec une clé dérivée de votre mot de passe avant d'être stockés. Nous ne stockons jamais votre mot de passe ni votre clé de déchiffrement.
En cas de demande judiciaire ou de compromission de notre infrastructure, les données stockées sur nos serveurs sont inexploitables sans votre mot de passe.
Chiffrement authentifié des messages et fichiers. Algorithme retenu par Google pour HTTPS sur mobile, utilisé dans WireGuard et Signal. Nonce étendu de 192 bits (sécurisé même pour de nombreux chiffrements avec la même clé). Libsodium via PHP 8.3.
Dérivation de clé depuis votre mot de passe. Vainqueur de la Password Hashing Competition (2015). Résistant aux attaques GPU et ASIC grâce à sa consommation mémoire élevée. Un sel aléatoire unique est généré pour chaque utilisateur.
Toutes les communications entre votre navigateur et nos serveurs sont chiffrées via TLS 1.3 avec des certificats Let's Encrypt. Le transport est sécurisé en plus du chiffrement des données.
Les fichiers joints sont chiffrés morceau par morceau (par blocs de 64 Ko) avant d'être stockés sur le serveur. Une clé de fichier unique est générée aléatoirement pour chaque fichier, puis cette clé est elle-même chiffrée avec votre clé principale.
Résultat : même si un attaquant accède au stockage de fichiers, il ne peut pas relier un fichier à un utilisateur ni le déchiffrer.
Si vous découvrez une faille de sécurité, merci de nous la signaler de manière responsable. Nous traitons toutes les signalements avec sérieux et confidentialité.
Contacter security@echopass.app