Solidariedade com a Ucrânia. Serviço oferecido gratuitamente a empresas ucranianas enquanto a guerra durar. Solicitar acesso gratuito
Transparence · réassurance RSSI

Pour chaque promesse, une preuve.

Nous listons ci-dessous chaque engagement de sécurité d'Aegirex accompagné de la preuve qui le sous-tend : code, test automatisé, conformité ou décision documentée. Statut transparent par claim. Aucune affirmation sans contrepartie vérifiable.

Version v1.0 · révisée le 16/06/2026 · cette page est mise à jour à chaque release majeure.

Pourquoi cette page ? Les revues de sécurité B2B commencent toujours par la même question : « comment je vérifie ce que vous racontez ? ». Cette page est notre réponse standard. Chaque ligne est ancrée dans un fait vérifiable.

Les statuts Livré sont actifs en production aujourd'hui ; En cours = fonctionnalité mergée, pas encore activée en production ; À venir = engagement daté pour une release ultérieure ; Documenté = choix architectural assumé, expliqué.

Le code source AGPL-3.0-or-later est public sur github.com/aegirex/server (SaaS), github.com/aegirex/website (site marketing) et github.com/aegirex/extension (extensions navigateur). Les runbooks et procédures internes restent réservés aux design partners sous NDA.

1. Zero-knowledge et cryptographie

Le cœur de la promesse : nous ne pouvons pas lire vos secrets, même avec un accès administrateur au serveur.

Promesse Preuve Statut
OpenPGP.js v6 (SEIPDv2 + ChaCha20-Poly1305) côté navigateur Bibliothèque vendorée avec empreinte SHA-256 vérifiée au build (manifeste d'intégrité SRI). Wrapper applicatif produit une enveloppe JSON v2 documentée publiquement. Livré
Clé privée jamais transmise au serveur Les API d'authentification et de session n'acceptent que la clé publique. La clé privée reste dans le stockage local du navigateur et le coffre matériel (passkey) de l'utilisateur. Livré
Argon2id pour le mot de passe maître (RFC 9106) Paramètres : 256 MiB de mémoire, 5 passes, parallelism 4. Tests automatisés en CI vérifient ces paramètres à chaque release pour empêcher une régression silencieuse. Livré
Chiffrement at-rest des secrets sensibles côté serveur XChaCha20-Poly1305 (clé gérée par variable d'environnement, jamais en base de données). Couvre les secrets TOTP, webhooks et autres données techniques sensibles. Livré
Roundtrip web ↔ extension navigateur testé Test automatisé vérifie chiffrement web puis déchiffrement extension (et inverse). Garantit la compatibilité byte-pour-byte entre les surfaces. Variante end-to-end Playwright planifiée. En cours
Migration post-quantique (ML-KEM / ML-DSA) Évaluation planifiée. OpenPGP v6 + AES-256 restent estimés sûrs 5 à 10 ans selon le RGS ANSSI 2024. À venir

2. Multi-organisation et API

Une organisation ne peut jamais lire les données d'une autre, même avec un jeton API valide.

Promesse Preuve Statut
Isolation stricte par organisation côté API Tous les endpoints filtrent systématiquement par l'organisation associée au jeton. Une batterie de tests d'isolation cross-organisation s'exécute en CI à chaque commit pour détecter toute fuite potentielle. Livré
Jetons API hashés Argon2id, jamais stockés en clair Le secret en clair n'est affiché qu'une seule fois, à la création. Aucun moyen de le récupérer ensuite. Base de données ne contient que le hash Argon2id. Livré
Chaîne d'audit HMAC-SHA-256 (tamper-evidence en O(1)) Signature chaînée par lock atomique base de données. Vérification disponible via commande publique. Clé de signature isolée par module HSM (PKCS#11). Voir l'explication détaillée. Livré

3. Souveraineté et conformité

100 % France ou Union européenne, aucune dépendance soumise au CLOUD Act.

Promesse Preuve Statut
Hébergement Scaleway en France (trajectoire SecNumCloud visée) Une région unique en Île-de-France, trois zones de disponibilité dont une en bunker anti-atomique (DC3 Île-de-France). Aucune réplication hors UE. Détails sur la page confiance. Livré
Paiement Stancer (société française), pas de prestataire US Intégration en cours de finalisation côté KYB pour l'ouverture des plans payants. Stancer est immatriculée en France, hors juridiction CLOUD Act. En cours
E-mails transactionnels Brevo (société française) Configuration SPF / DKIM / DMARC stricte appliquée au domaine, conforme aux recommandations CNIL et Anti-phishing 2024. Livré
RGPD : registre, AIPD, DPO contactable Politique de confidentialité + modèle DPA signable + DPO joignable directement. Registre des traitements tenu à jour, AIPD disponible sous NDA. Livré
Hors CLOUD Act : juridiction française exclusive ARDNTECH EI est française, l'hébergeur est français, les sous-traitants sont français ou européens (voir liste exhaustive). Aucune réquisition extra-européenne ne peut obtenir autre chose que des blobs chiffrés inutilisables. Livré

4. Open source et transparence

Code AGPL-3.0, builds reproductibles, signature des artefacts.

Promesse Preuve Statut
Code source AGPL-3.0 (intégralité, y compris fonctions payantes) Licence AGPL-3.0-or-later sur tout le code, avec en-tête SPDX normalisé. Dépôts publics ouverts : aegirex/server, aegirex/website, aegirex/extension. Disponible
Analyse statique PHPStan niveau 9 - zéro erreur Niveau le plus strict disponible. Bloquant en CI : aucun merge si une nouvelle erreur est introduite. Livré
Suite de tests automatisés > 1 000 cas Couverture : coffre, API, authentification, 2FA, chaîne d'audit, export RGPD, import depuis concurrents, isolation multi-organisation. Bloquant en CI sur chaque PR. Livré
Image Docker signée (Sigstore / cosign) Permet à l'utilisateur de vérifier l'origine de l'artefact avant déploiement, sans confiance préalable dans le canal de distribution. À venir
SBOM CycloneDX téléchargeable et signé Inventaire complet des dépendances logicielles selon la norme NTIA/ENISA. Signé Sigstore pour l'intégrité. Génération automatisée en CI à chaque release. À venir

5. Trade-offs assumés

Ce que nous avons choisi de ne pas faire, et pourquoi. Le détail dans le threat model public.

Choix Justification Statut
Noms de secrets et de dossiers stockés en clair côté serveur Permet la recherche instantanée et l'affichage de l'arborescence sans déchiffrement à chaque navigation. Le contenu reste chiffré de bout en bout. Trade-off documenté dans le threat model. Documenté
Mot de passe maître = unique clé du coffre (pas de récupération) Conséquence directe du zero-knowledge strict : si nous pouvions le récupérer, il y aurait un chemin de déchiffrement côté serveur. Mitigation : codes de secours imprimés à la création, partage Shamir (M-sur-N) à venir pour les plans Enterprise. Documenté
Mot de passe en clair dans le DOM lors de la saisie Inévitable : l'utilisateur doit le taper. Mitigation : Trusted Types CSP empêche le DOM XSS d'injecter du JavaScript exfiltrant le contenu des champs. Documenté
Phishing du mot de passe maître via site clone Aucun mot de passe ne résiste à un site phishant parfaitement cloné. Mitigation forte à venir : passkeys WebAuthn PRF qui suppriment la transmission du mot de passe, et sont liés au domaine d'origine par le navigateur. Documenté
Insider Aegirex (futur salarié) Mitigation contractuelle et organisationnelle : NDA, séparation des responsabilités, revue de code obligatoire, chaîne d'audit tamper-evidente, principe du moindre privilège. Limite assumée de tout modèle de confiance d'éditeur SaaS. Documenté

Le détail complet ?

Tout ce qui précède est résumé. Pour la version exhaustive avec la grille STRIDE par surface, les acteurs modélisés et chaque trade-off justifié, lisez le threat model public.

 Threat model public  Accès code (NDA)