FR
English Español Deutsch Français Português 日本語 中文 العربية हिंदी Bahasa Indonesia Italiano 한국어 Nederlands Polski Русский Svenska ไทย Türkçe Tiếng Việt
Télécharger
Déniabilité plausible dans les apps : ce que c'est et pourquoi ça compte

Déniabilité plausible dans les apps : ce que c'est et pourquoi ça compte

La déniabilité plausible signifie que l'existence des données cachées ne peut pas être prouvée.

La déniabilité plausible en chiffrement est la propriété qui permet à un utilisateur de nier de manière crédible l'existence de certaines données chiffrées. Le stockage chiffré semble ne contenir que les données que l'utilisateur choisit de révéler. Un examinateur forensique, une partie coercitive ou quiconque avec un accès physique à l'appareil ne peut pas prouver qu'il existe des données cachées supplémentaires. Ce n'est pas une fonctionnalité de masquage. C'est une propriété mathématique du schéma de chiffrement lui-même.

Ce guide explique comment la déniabilité plausible fonctionne dans les apps, la différence entre la vraie déniabilité cryptographique et les modes leurre cosmétiques, les scénarios réels où elle compte et comment évaluer les affirmations de déniabilité.

Ce que signifie la déniabilité plausible en chiffrement

Dans le langage courant, la déniabilité plausible signifie que vous pouvez nier quelque chose de manière crédible. En cryptographie, cela signifie que l'existence des données cachées ne peut pas être prouvée, même par un expert avec un temps illimité et des outils forensiques.

Le concept est né dans le chiffrement de disque. TrueCrypt (et son successeur VeraCrypt) a été pionnier du volume caché : un volume chiffré dans un autre volume chiffré. Un mot de passe révèle le volume externe avec des fichiers anodins. Un mot de passe différent révèle le volume interne caché avec des fichiers sensibles. Un examinateur forensique ne peut pas déterminer si un volume caché existe car l'espace inutilisé dans le volume externe est rempli de données aléatoires indiscernables des données chiffrées.

Vraie déniabilité vs. modes leurre cosmétiques

C'est la distinction critique que la plupart des apps ratent.

Mode leurre cosmétique (pas une vraie déniabilité)

Beaucoup d'apps coffre offrent une fonctionnalité « leurre » ou « faux PIN ». Vous définissez un PIN secondaire qui ouvre un espace séparé avec des photos différentes. Le problème : ces apps stockent généralement un indicateur booléen, une entrée de base de données ou un fichier de configuration indiquant qu'un mode leurre existe et est configuré.

Un examinateur forensique qui comprend l'app peut trouver cet indicateur. Trouver un mode leurre configuré prouve que des données cachées existent. La déniabilité est cosmétique — elle fonctionne contre un curieux informel mais échoue sous examen forensique.

Signes de déniabilité cosmétique :

  • L'app a un interrupteur « mode leurre » dans les paramètres
  • Un fichier de configuration stocke si le mode leurre est activé
  • Une table de base de données liste les IDs de coffres avec des indicateurs de type (principal/leurre)
  • La structure de stockage de l'app change quand le mode leurre est activé

Vraie déniabilité cryptographique

La vraie déniabilité est une propriété architecturale, pas un interrupteur de fonctionnalité. Le stockage chiffré doit être conçu de sorte que :

  1. Chaque identifiant ouvre un ensemble de données valide. Il n'y a pas d'erreur « mauvais mot de passe » pour les identifiants qui ouvrent des coffres cachés. Toute combinaison motif/mot de passe valide produit une clé qui déchiffre quelque chose.

  2. Aucun registre de coffres n'existe. L'app ne peut pas énumérer combien de coffres existent. Il n'y a pas de compte, pas d'index, pas de liste d'IDs de coffres.

  3. Aucun indicateur de configuration ne révèle les coffres cachés. Il n'y a pas de booléen, pas d'entrée de base de données, pas de fichier de préférences qui indique si des coffres supplémentaires existent.

  4. Le stockage est rembourré. La taille totale du stockage consommé ne change pas en fonction du nombre de coffres ou de fichiers.

  5. Les données chiffrées sont indiscernables du bruit aléatoire. Il n'y a pas de frontières de fichiers, pas d'en-têtes, pas de marqueurs structuraux qui révèlent où les données d'un coffre se terminent et celles d'un autre commencent.

Propriété Leurre cosmétique Vraie déniabilité
Données séparées par identifiant Oui Oui
Pas de registre de coffres Non (la base de données suit les coffres) Oui
Pas d'indicateurs de configuration Non (interrupteur leurre stocké) Oui
Rembourrage de stockage Rarement Oui
Survit à l'examen forensique Non Oui
Architecturale vs. fonctionnalité Interrupteur de fonctionnalité Propriété architecturale

Scénarios réels où cela compte

Passages aux frontières

Aux États-Unis, les douanes (CBP) peuvent légalement contraindre l'accès à l'appareil à la frontière. Dans ce scénario, un utilisateur avec une vraie déniabilité plausible peut fournir un motif/mot de passe qui ouvre un coffre contenant du contenu anodin. L'examinateur ne peut pas prouver que d'autres coffres existent.

Violence domestique et relations coercitives

Quelqu'un dans une relation abusive peut avoir besoin de stocker des preuves (photos de blessures, messages menaçants, documents juridiques) sur un appareil que l'agresseur surveille. Si l'agresseur exige de voir le coffre, l'utilisateur peut ouvrir un coffre avec du contenu non sensible. Sans vraie déniabilité, un indicateur « mode leurre » dans la configuration de l'app révélerait l'existence de contenu caché.

Vol d'appareil

Un voleur avec des compétences techniques peut tenter d'extraire des données d'un téléphone volé. Avec la vraie déniabilité, le pool de données chiffrées ne révèle rien sur le nombre de coffres, leur contenu ou leur but.

Protection juridique et journalistique

Les journalistes protégeant leurs sources, les avocats protégeant les dossiers clients et les militants dans des régimes autoritaires font face à des scénarios où le contenu de l'appareil peut être contraint. La vraie déniabilité fournit une défense crédible contre la saisie de données.

Comment Vaultaire implémente la déniabilité plausible

Vaultaire atteint la vraie déniabilité plausible cryptographique par une conception architecturale :

Chaque motif ouvre un coffre différent. La grille 5x5 produit une clé via PBKDF2. Un motif différent produit une clé différente. Il n'y a pas de clé maîtresse, pas de liste de coffres, et pas de moyen pour l'app d'énumérer les coffres existants. Dessiner un motif qui n'a pas de coffre associé ouvre simplement un espace de coffre vide — il n'y a pas d'erreur « motif incorrect ».

Pas de registre de coffres. L'app n'a pas de base de données listant les coffres, les noms de coffres ou le nombre de coffres. Toutes les données chiffrées existent dans un seul pool de stockage indifférencié.

Rembourrage de stockage. La taille totale du stockage reste constante quel que soit le nombre de coffres ou de fichiers, ce qui contrecarre l'analyse de l'utilisation du disque.

Pas d'indicateurs de configuration. Il n'y a pas de fichier de paramètres, pas d'entrée de préférences et pas d'enregistrement de base de données qui révèle combien de coffres existent.

Mode de contrainte. Les utilisateurs peuvent désigner un coffre comme coffre de contrainte. Dessiner ce motif ouvre le coffre normalement tout en détruisant simultanément et silencieusement les sels cryptographiques de tous les autres coffres. La destruction est irréversible, ne laisse aucune trace forensique et prend moins d'une seconde.

Comment évaluer les affirmations de déniabilité

Quand une app revendique la déniabilité plausible, demandez :

  1. Y a-t-il un interrupteur « mode leurre » ? Si oui, c'est cosmétique. Un examinateur forensique peut trouver l'interrupteur.
  2. L'app a-t-elle une liste de coffres ou une base de données ? Si oui, l'existence du coffre est prouvable.
  3. Y a-t-il une erreur « mauvais mot de passe » ? Si oui, l'app peut distinguer les identifiants valides des invalides.
  4. La consommation de stockage change-t-elle avec le nombre de coffres ? Si oui, l'analyse du disque peut estimer le nombre de coffres.
  5. L'app peut-elle énumérer les coffres ? Si l'app peut vous montrer une liste de vos coffres, cette liste existe sur l'appareil et est détectable.

Questions fréquentes

La déniabilité plausible est-elle légale ?

Utiliser le chiffrement avec déniabilité plausible est légal dans la plupart des démocraties. Il n'y a pas de loi contre avoir des données chiffrées sur votre appareil dont l'existence ne peut pas être prouvée. Dans certaines juridictions (Royaume-Uni sous RIPA, Australie sous l'Assistance and Access Act), les autorités peuvent contraindre la divulgation de clés de chiffrement. La question juridique de savoir si contraindre la divulgation d'une clé pour des données dont l'existence ne peut pas être prouvée est exécutoire reste un domaine juridique en développement.

Les outils forensiques peuvent-ils détecter la déniabilité plausible ?

Les outils forensiques professionnels (Cellebrite, GrayKey, Magnet AXIOM) peuvent détecter que Vaultaire est installé et que des données chiffrées existent. Ils ne peuvent pas déterminer combien de coffres existent, ce qu'ils contiennent ou s'il en existe des supplémentaires. Les données chiffrées sont indiscernables du bruit aléatoire. C'est vérifié par conception, pas affirmé par politique.

La déniabilité plausible fonctionne-t-elle contre un État-nation déterminé ?

Contre la cryptanalyse (casser le chiffrement) : oui. AES-256 n'est pas cassable par aucune capacité d'État-nation connue. Contre la coercition (vous forcer à révéler les motifs) : la déniabilité plausible signifie que vous pouvez révéler un coffre tout en niant de manière crédible que d'autres existent. Contre l'exploitation de l'appareil (utiliser un zero-day pour extraire des données d'un appareil en cours d'utilisation) : si l'appareil est déverrouillé et le coffre ouvert, les données déchiffrées sont en mémoire.

Quelle est la différence entre déniabilité plausible et coffres cachés ?

Les coffres cachés sont des coffres qui ne sont pas visibles dans l'interface de l'app. La déniabilité plausible est la propriété que l'existence des coffres cachés ne peut pas être prouvée. Une app peut avoir des coffres cachés sans déniabilité plausible (si un registre de coffres ou un indicateur de configuration les révèle). Vaultaire fournit les deux : les coffres sont cachés par défaut, et leur existence est improuvable par conception.

Puis-je utiliser la déniabilité plausible avec des sauvegardes cloud ?

Dans Vaultaire, les sauvegardes iCloud chiffrées contiennent l'ensemble du pool de stockage chiffré. La sauvegarde est un seul blob chiffré. Elle préserve la déniabilité plausible car la sauvegarde elle-même ne contient pas de structure au niveau du coffre — c'est le même pool chiffré indifférencié que sur le stockage de l'appareil.

Conclusion

La déniabilité plausible en chiffrement signifie que l'existence des données cachées ne peut pas être prouvée, même sous examen forensique. La plupart des apps qui revendiquent cette fonctionnalité offrent des modes leurre cosmétiques avec des indicateurs de configuration détectables. La vraie déniabilité nécessite aucun registre de coffres, aucun indicateur de configuration, un rembourrage de stockage et des données chiffrées architecturalement indiscernables.

Vaultaire implémente la vraie déniabilité plausible comme une propriété architecturale : chaque motif ouvre un coffre différent, il n'y a pas de liste de coffres, le stockage est rembourré, et aucune autre app coffre chiffrée ne fait cela.