Modèle de menace (Threat Model)
CryptPeer® vise à réduire les risques techniques et opérationnels dans des contextes sensibles (entreprises critiques, ONG, usages régaliens, air‑gap, etc.).
- MITM (Man‑in‑the‑Middle) — protections E2E et authentification.
- APT / insider — réduction de la surface d’attaque, chiffrement des données applicatives, doctrine “le serveur transporte”.
- Compromission serveur — l’objectif est que le serveur ne soit jamais une “source de clair”.
- Replay / altération — tags d’authentification et IV/nonce aléatoires.
- DDoS & déni de service — mécanismes de résilience et d’exploitation selon les modes de déploiement.
- Fuite de contenu vers des IA cloud — les fonctions d’assistance linguistique sont conçues pour être exécutées sur votre infrastructure (pas d’appel à des services externes).
Sécurité des comptes & accès
2FA TOTP : activation possible par compte. Compatible avec des outils TOTP, y compris PassCypher HSM PGP et PassCypher NFC HSM.
Cryptographie (références)
Pour éviter les approximations, les primitives et mécanismes détaillés sont documentés dans les spécifications.
- AES‑256‑GCM (chiffrement authentifié)
- PBKDF2‑HMAC‑SHA‑256 (dérivation locale)
- HKDF, SHA‑256, SHA‑3 (durcissements)
- Résilience quantique par conception : approche basée sur des primitives symétriques robustes.
Spécifications cryptographiques →
Conformité & cadre cyber
- Cyber Resilience Act (CRA)
- Déclaration UE de conformité (CRA)
- RGPD, NIS2, DORA (selon périmètre/licencié)
- Double usage / Dual‑Use : doctrine d’usage défensif (références explicites dans le glossaire).
Sécurité du site cryptpeer.com
CryptPeer® applique les mêmes principes de sécurité par conception à son site de présentation. Objectif : en faire une référence en la matière, même pour un site statique.
Niveau de sécurité selon les normes en vigueur
Le site cryptpeer.com est évalué au regard des cadres reconnus d’évaluation de la cybersécurité des sites web :
- OWASP Top 10 — critères applicables (crypto, injection, configuration, intégrité) respectés pour un site statique.
- Security Headers — HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy et Permissions-Policy en place.
- Subresource Integrity (SRI) — W3C : intégrité des ressources externes vérifiée.
- HSTS preload — cryptpeer.com éligible à la liste des navigateurs (Chrome, Firefox, Edge, Safari). Vérifier la validité HSTS →
Niveau global : élevé — conforme aux bonnes pratiques pour un site statique.
- HTTPS obligatoire — tout le trafic est chiffré (TLS). HSTS activé pour forcer la connexion sécurisée.
- HSTS preload — cryptpeer.com est éligible à la liste HSTS preload des navigateurs (Chrome, Firefox, Edge, Safari). Vérifiable sur hstspreload.org.
- Headers de sécurité — protection anti-clickjacking (X-Frame-Options), MIME sniffing (X-Content-Type-Options), fuites de referrer (Referrer-Policy). Politique de contenu restrictive (CSP).
- Surface d'attaque minimale — site 100 % statique, aucune base de données, aucun traitement de données côté serveur. Pas de PHP, pas de formulaires dynamiques.
- Zéro tracking — pas d'analytics, pas de traceurs marketing. CookieSafe™ pour un consentement local et transparent.
- Ressources externes contrôlées — intégrité vérifiée (SRI) sur les ressources CDN. Liens externes sécurisés (noopener).
La sécurité du site reflète notre engagement : un produit de communication sécurisée doit lui-même respecter les meilleures pratiques.
Transparence & évolution
La transparence produit est assurée par les livrables et les notes de version (plutôt qu’une roadmap détaillée exploitable).