Coffres-forts cachés : personne ne sait combien existent

Vaultaire stocke toutes les données chiffrées dans un pool indifférencié unique sans liste de coffres-forts, sans répertoire et sans métadonnées révélant combien de coffres-forts existent. Le rembourrage de stockage maintient la taille totale constante quel que soit le nombre de coffres-forts ou de fichiers. L'application elle-même ne peut pas énumérer les coffres-forts sur ton appareil.

Que signifient réellement les « coffres-forts cachés » ?

La plupart des applications de coffre-fort fonctionnent comme des classeurs. Ouvre l'application, et tu vois une liste de tes coffres-forts. Peut-être qu'ils ont des noms. Peut-être qu'ils affichent un compteur. Peut-être qu'il y a une petite icône de cadenas à côté de chacun. L'application sait exactement combien de coffres-forts tu as, et cette information est visible par quiconque ouvre l'application — ou examine l'appareil.

Vaultaire fonctionne différemment. Il n'y a pas de liste de coffres-forts. Pas de répertoire. Pas de registre. Pas de fichier de métadonnées qui catalogue ce qui existe. Quand tu traces un schéma, Vaultaire ne cherche pas ton coffre-fort dans une base de données. Il dérive une clé cryptographique de ton schéma et tente de déchiffrer des données avec cette clé. Si la clé correspond à un coffre-fort existant, les données se déchiffrent en tes fichiers. Si elle ne correspond à rien, le déchiffrement produit du bruit — et Vaultaire ne peut pas distinguer entre « il n'y a pas de coffre-fort pour ce schéma » et « un coffre-fort existe mais tu as tracé le mauvais schéma ».

Ce n'est pas une décision d'interface. C'est une décision architecturale. Vaultaire ne sait genuinement pas combien de coffres-forts se trouvent sur ton appareil. L'application ne peut pas les compter, ne peut pas les énumérer et ne peut pas les révéler — parce qu'elle n'a jamais été conçue pour les suivre.

Ce n'est pas un « dossier caché »

L'expression « coffre-fort caché » pourrait te faire penser à des applications qui cachent un dossier là où tu ne peux pas facilement le voir. Peut-être que le dossier est nommé avec un préfixe point pour qu'il n'apparaisse pas dans un explorateur de fichiers. Peut-être que l'application utilise un déguisement de « calculatrice » pour dissimuler son vrai but. Ce sont des astuces de camouflage, et elles partagent toutes le même défaut fatal : les données cachées sont toujours là, dans un emplacement connu, attendant d'être trouvées.

Un examinateur forensique avec accès à ton appareil peut trouver trivialement un dossier caché. Les outils de système de fichiers listent chaque répertoire. Les analyseurs de stockage montrent où l'espace disque est alloué. Même un ami modérément compétent en informatique avec cinq minutes et un moteur de recherche pourrait localiser la plupart des dossiers « cachés ».

Vaultaire ne cache pas de dossiers. Il ne déguise pas de fichiers. À la place, les données chiffrées de tous les coffres-forts existent dans un pool de stockage unique et indifférencié. Il n'y a pas de frontières de fichiers qui correspondent aux frontières des coffres-forts. Il n'y a pas d'en-têtes marquant où un coffre-fort se termine et où un autre commence. Tout le pool est des données chiffrées, et sans la bonne clé pour un coffre-fort spécifique, il n'y a aucun moyen de déterminer quels octets appartiennent à quel coffre-fort — ou combien de coffres-forts le pool contient.

La différence, c'est la différence entre cacher un livre sur une étagère haute et dissoudre l'encre d'un livre dans une piscine. L'un nécessite une échelle. L'autre nécessite de savoir exactement quelles molécules étaient les tiennes.

Obscurcissement du stockage : le mécanisme de rembourrage

Même sans liste de coffres-forts, un adversaire astucieux pourrait essayer une approche différente : analyser l'utilisation du disque. Si Vaultaire utilise 500 Mo de stockage aujourd'hui et 800 Mo demain, peut-être que tu as ajouté un coffre-fort. Si supprimer des photos d'un coffre-fort réduit le stockage de exactement 200 Mo, peut-être qu'il y a une corrélation à exploiter.

Vaultaire contrecarre cela avec le rembourrage de stockage. L'application maintient une empreinte de stockage cohérente en rembourrant son pool de données avec des octets cryptographiquement aléatoires. Quand tu ajoutes des fichiers à un coffre-fort, le rembourrage diminue. Quand tu supprimes des fichiers, le rembourrage augmente. La taille totale du pool de stockage ne change qu'à des seuils prédéfinis, pas en réponse à des opérations sur des fichiers individuels.

Cela signifie qu'un observateur surveillant le stockage de ton appareil au fil du temps ne peut pas déterminer si les changements sont causés par l'ajout de fichiers, la suppression de fichiers, la création de nouveaux coffres-forts ou la destruction d'anciens. L'empreinte de stockage est conçue pour être non informative. C'est du bruit par conception.

Comment fonctionne le rembourrage

Le mécanisme de rembourrage fonctionne sur un principe simple : le pool de stockage occupe toujours une taille qui tombe sur une limite d'échelon fixe. Pense à un escalier plutôt qu'à une rampe. Tes données réelles pourraient être de 347 Mo, mais le pool occupe 512 Mo. Tu ajoutes 100 Mo de photos, et le pool occupe toujours 512 Mo — le rembourrage a absorbé la différence. C'est seulement quand tu franchis le seuil d'échelon suivant que la taille du pool change, et ce changement est identique quel que soit le nombre de coffres-forts que tu as ajoutés.

Les octets de rembourrage sont impossibles à distinguer des données chiffrées. Les deux sont des séquences d'octets à l'apparence aléatoire. Il n'y a pas d'en-tête, pas de marqueur et pas de métadonnées qui identifient quels octets sont du rembourrage et lesquels sont du contenu chiffré de coffre-fort. Sans la bonne clé, chaque octet a l'air exactement pareil.

Résistance forensique : ce qui se passe quand on prend ton téléphone

Soyons précis sur le modèle de menace. Imagine quelqu'un avec un accès physique à ton appareil, des outils forensiques professionnels, un temps illimité et l'autorité légale d'examiner chaque octet. Que peuvent-ils déterminer sur tes coffres-forts ?

Ce que les outils forensiques peuvent voir

Un examinateur forensique peut voir que Vaultaire est installé. Il peut voir que Vaultaire utilise une certaine quantité de stockage. Il peut voir que les données stockées sont chiffrées. C'est tout.

Ce que les outils forensiques ne peuvent pas déterminer

• Combien de coffres-forts existent. Il n'y a pas de compteur de coffres-forts, pas de structure de répertoire et pas de métadonnées révélant le nombre de coffres-forts.
• Si des coffres-forts existent. Le pool de stockage existe qu'il contienne zéro coffre-fort ou cent. Le rembourrage remplit l'espace dans tous les cas.
• Ce qui se trouve dans un coffre-fort. Les données chiffrées sont impossibles à distinguer de bruit aléatoire sans la bonne clé.
• Quand les coffres-forts ont été créés ou modifiés. Les horodatages sont chiffrés avec les données. Les horodatages du système de fichiers reflètent les opérations au niveau du pool, pas au niveau du coffre-fort.
• Quelle quantité de données réelles existe. Le rembourrage rend le volume de données réelles indéterminé. 500 Mo de stockage pourraient contenir 10 Mo de données réelles et 490 Mo de rembourrage, ou 490 Mo de données réelles et 10 Mo de rembourrage.

Comment les coffres-forts cachés permettent le déni plausible

Les coffres-forts cachés sont le fondement qui fait réellement fonctionner la fonctionnalité de déni plausible de Vaultaire. Voici pourquoi les deux sont inséparables.

Le déni plausible signifie que chaque schéma que tu traces ouvre quelque chose. Trace ton vrai schéma, et tu vois tes fichiers privés. Trace un schéma différent, et tu vois un coffre-fort leurre — un ensemble de photos anodines que tu y as placées précisément pour ce scénario. Pour un observateur, les deux résultats sont identiques. Il n'y a aucun moyen de savoir si quelqu'un a tracé son « vrai » schéma ou son schéma « leurre ».

Mais le déni plausible ne fonctionne que si l'existence de coffres-forts supplémentaires est indétectable. Si un examinateur peut déterminer que ton appareil contient trois coffres-forts, alors en lui montrant un seul coffre-fort, ce n'est pas niable — il sait que deux autres existent. Les coffres-forts cachés éliminent cette vulnérabilité. Parce que personne ne peut compter tes coffres-forts, personne ne peut prouver que tu en retiens l'accès.

La chaîne complète

• Étape 1 : tu crées plusieurs coffres-forts avec des schémas différents — un pour les vrais fichiers, un pour les leurres, autant que tu veux.
• Étape 2 : si tu es sous pression, tu traces le schéma du leurre. L'observateur voit un coffre-fort avec des photos ennuyeuses.
• Étape 3 : l'observateur ne peut pas déterminer si d'autres coffres-forts existent. Il n'y a pas de compteur, pas de liste, pas de preuve de coffres-forts supplémentaires.
• Étape 4 : tu déclares honnêtement que tu lui as montré ce que tu as. Il ne peut pas prouver le contraire.

Sans les coffres-forts cachés, le déni plausible est du théâtre. Avec les coffres-forts cachés, c'est des mathématiques.

Pourquoi c'est important

Tu pourrais penser que la résistance forensique semble extrême. La plupart des gens ne font pas face à des saisies d'appareils ou à des ordonnances du tribunal. Mais le principe derrière les coffres-forts cachés te protège aussi dans des scénarios quotidiens.

Un partenaire qui prend ton téléphone ne peut pas savoir si tu as des coffres-forts privés. Un collègue qui emprunte ton appareil ne voit rien à curiosité. Un voleur qui te vole ton téléphone ne peut pas déterminer s'il y a quelque chose qui vaut la peine d'être extrait. Dans chaque cas, la protection est la même : ce qui ne peut pas être trouvé ne peut pas être ciblé.

C'est un changement fondamental dans la façon dont la vie privée fonctionne. La sécurité traditionnelle demande : « Peuvent-ils entrer par effraction ? » Les coffres-forts cachés posent une question entièrement différente : « Peuvent-ils même dire qu'il y a quelque chose à faire entrer par effraction ? » La réponse, par conception, est non.