Politique de confidentialité
Dernière mise à jour : mars 2026
Password Manager est conçu sur le principe du zero-knowledge : vos mots de passe sont chiffrés localement sur votre appareil avant toute transmission. Nous ne pouvons pas lire vos données.
1. Données collectées
Password Manager collecte uniquement les données strictement nécessaires à son fonctionnement :
- Adresse e-mail — utilisée comme identifiant de compte pour l'authentification.
- Hash du mot de passe maître — votre mot de passe maître est hashé avec bcrypt (12 rounds) avant d'être stocké. Le mot de passe en clair n'est jamais transmis ni stocké sur le serveur.
- Sel cryptographique — un sel aléatoire de 128 bits est généré à l'inscription pour la dérivation de votre clé de chiffrement (PBKDF2).
- Mots de passe chiffrés — vos entrées (site, identifiant, mot de passe) sont chiffrées côté client avec AES-256-GCM avant d'être envoyées au serveur. Le serveur ne stocke que des données chiffrées, illisibles sans votre mot de passe maître.
2. Chiffrement et sécurité
Toutes les données sensibles sont protégées par un chiffrement de bout en bout :
- Algorithme : AES-256-GCM (chiffrement authentifié).
- Dérivation de clé : PBKDF2 avec 600 000 itérations et SHA-256.
- Vecteurs d'initialisation : IV aléatoire de 96 bits unique pour chaque chiffrement.
- Transport : toutes les communications utilisent HTTPS (TLS).
- Zero-knowledge : la clé de chiffrement est dérivée localement à partir de votre mot de passe maître et n'est jamais transmise au serveur.
3. Stockage des données
Les données sont stockées sur Supabase (hébergé sur AWS). La base de données contient uniquement :
- Votre adresse e-mail et le hash bcrypt de votre mot de passe maître.
- Vos entrées chiffrées (texte chiffré AES-256-GCM + vecteurs d'initialisation).
L'API backend est hébergée sur Render. Aucune donnée en clair ne transite ni n'est stockée sur le serveur.
4. Données stockées localement
L'extension Chrome stocke dans chrome.storage.local :
- Votre token d'authentification JWT (expire après 24 heures).
- Votre sel cryptographique (nécessaire pour re-dériver la clé).
- Votre adresse e-mail (pour l'affichage sur l'écran de déverrouillage).
Les mots de passe déchiffrés existent uniquement en mémoire pendant votre session et ne sont jamais persistés en clair.
5. Partage des données
Vos données ne sont jamais :
- Vendues à des tiers.
- Partagées avec des annonceurs.
- Utilisées à des fins d'analyse ou de profilage.
- Transmises à des services externes autres que l'API Password Manager.
6. Suppression des données
Vous pouvez à tout moment :
- Supprimer individuellement chaque entrée de mot de passe depuis l'extension ou l'application desktop.
- Demander la suppression complète de votre compte en nous contactant par e-mail.
7. Permissions de l'extension
L'extension Chrome utilise les permissions suivantes, chacune pour un usage précis :
- activeTab — détecter l'URL de l'onglet actif pour proposer les identifiants correspondants.
- storage — stocker le token JWT et le sel dans chrome.storage.local.
- tabs — lire l'URL de l'onglet pour le matching et mettre à jour le badge.
- clipboardWrite — permettre la copie des identifiants en un clic.
8. Modifications
Cette politique de confidentialité peut être mise à jour. Toute modification significative sera signalée via une mise à jour de l'extension. La date de dernière mise à jour est indiquée en haut de cette page.
9. Contact
Pour toute question relative à la confidentialité de vos données, vous pouvez nous contacter à :
Email : thibaud.hoarau@gmail.com