Sécurité chez Locki
La sécurité est au cœur de Locki. Nous avons construit notre plateforme selon un principe : vos données en texte brut ne devraient jamais quitter votre navigateur — jamais. Cette page décrit notre architecture de sécurité et ce qu'elle signifie pour votre organisation.
1. Chiffrement local
Tous les chiffrement et déchiffrement se font localement dans votre navigateur. Locki ne transmet, ne stocke ni n'accède jamais à votre texte en clair. Vos clés de chiffrement restent entièrement sous votre contrôle — l'extension les utilise uniquement en mémoire, ne les envoyant jamais en texte brut à aucun serveur.
2. Architecture zéro-connaissance
Nous avons conçu Locki avec un modèle strict de zéro-connaissance. Même pour les clés d'organisation stockées sur nos serveurs — elles sont stockées en AES-GCM chiffré avec une clé dérivée du secret maître de votre organisation. Nous stockons des objets chiffrés, pas des clés utilisables. Même si notre base de données était compromise, vos clés resteraient protégées.
3. Normes de chiffrement
Locki utilise AES-256-GCM — le même algorithme utilisé par les institutions financières, les gouvernements et les fournisseurs de cloud pour protéger les données sensibles. Chaque charge chiffrée inclut un IV de 12 octets unique pour prévenir les attaques par rejeu. Ceci est implémenté en utilisant l'API Web Crypto native du navigateur, pas des bibliothèques tierces.
4. Aucune collecte de données en texte brut
Locki ne collecte pas le contenu de ce que vous chiffrez. Les journaux d'audit capturent uniquement les métadonnées — acteur, action, ID de clé, horodatage et URL de l'application Web — jamais le texte brut ou le texte chiffré de vos messages. Cette conception garantit la conformité RGPD de par défaut.
5. Cryptographie Open Source
Nous croyons que les outils de confidentialité doivent être vérifiables. Les primitives cryptographiques centrales de Locki sont publiées en open source — github.com/locki-hub/locki-crypto — et disponibles en tant que package npm (@lockisecurity/crypto-core). Le format de chiffrement, la gestion des IV et la dérivation des clés peuvent être examinés, audités et réutilisés de manière indépendante par quiconque.
6. Divulgation responsable
Nous accueillons la recherche en sécurité responsable. Si vous découvrez une vulnérabilité dans Locki, veuillez nous contacter immédiatement à contact@lockisecurity.com. Nous prenons chaque rapport au sérieux et répondons rapidement.
Dernière mise à jour : 27 avril 2026