Fleet ForwardConnexion
Document technique · v1.2 · Mai 2026

Sécurité
en clair.

Pourquoi nos serveurs ne peuvent pas lire vos identifiants, même si on le voulait. Document à l'intention des DSI, RSSI et équipes Légales.

01

Modèle de menace

Nous considérons comme non-fiable tout ce qui n'est pas le navigateur du destinataire authentifié : serveurs d'application, base de données (y compris sauvegardes), hébergeur, pipelines de monitoring, services tiers, et le chemin réseau de l'expéditeur. Le code de chiffrement est servi depuis la même origine — aucun script tiers sur les pages sensibles.

02

Primitives cryptographiques

  • ECDH P-256 pour l'accord de clé asymétrique (Web Crypto API)
  • AES-GCM-256 pour le chiffrement symétrique authentifié (IV 12 octets aléatoires par message)
  • PBKDF2-SHA256 · 600 000 itérations · sel 16 octets unique par destinataire
  • CryptoKey non extractibles (extractable: false) persistées dans IndexedDB
03

Burn-after-reading

À la lecture d'une soumission, le ciphertext est supprimé de la base et l'horodatage viewed_at est posé. Aucune copie n'est conservée côté serveur après lecture. Cette propriété est garantie par contrat SQL — la requête de lecture est transactionnelle.

04

Qui peut déchiffrer

Seul l'administrateur destinataire, depuis son navigateur authentifié et avec sa clé privée locale, peut déchiffrer une soumission. La clé privée est protégée par son mot de passe et ne quitte jamais son appareil sous forme lisible.

05

Analyse IA (option agence)

Chaque agence peut activer ou non l'analyse IA de ses soumissions. Lorsqu'elle est activée, les fichiers déposés et les vidéos Loom (uniquement) sont transmis à Google (Gemini) pour générer un résumé et des suggestions d'automatisation. Les réponses chiffrées du formulaire (clés API, identifiants, mots de passe…) ne sont jamais transmises : elles restent E2EE et ne sont déchiffrables que dans le navigateur de l'administrateur destinataire. Une passe automatique de masquage retire les secrets reconnaissables (PEM, JWT, tokens AWS/OpenAI/Google, paires clé=valeur sensibles) du contenu textuel avant transmission. L'analyse peut être désactivée à tout moment depuis la page de l'agence.

06

Limites assumées

Le service ne couvre pas les compromissions du poste client (logiciel malveillant, keylogger), l'accès physique non protégé à un navigateur ouvert, ni les attaques sur la chaîne d'approvisionnement du navigateur.

Stockage serveur — ce qui est permis
Clé publique du destinataireOui (matière publique)
Clé privée chiffrée (opaque)Oui (ciphertext)
Enveloppe de soumissionOui (opaque)
Identifiants en clair / Clés APIJAMAIS
Mot de passe d’authentificationJAMAIS
Clé privée non chiffréeJAMAIS
Document maintenu par l'équipe sécurité Fleet Forward.
Auditeur externe : à confirmer · prochaine revue : Q3 2026.
← Retour à l'accueil