Site en ligne · Coffres opérationnels — l'extension d'auto-remplissage arrive dans quelques jours (en cours de validation Chrome Web Store).
TashlightTashlight
Créer un compte

Confiance & sécurité

La transparence est notre socle.

Vos mots de passe, IBAN et papiers d'identité méritent mieux qu'une promesse. Voici les mesures concrètes que nous prenons pour les protéger.

Chiffrement AES-256

Un standard militaire utilisé par les banques et les gouvernements pour protéger les données les plus sensibles.

Architecture zero-knowledge

Vos données sont chiffrées sur votre appareil avec votre mot de passe maître. Personne d'autre — pas même nos ingénieurs — ne peut les déchiffrer.

Mot de passe maître unique

Une seule clé que vous seul connaissez. Sans elle, accéder à votre coffre est mathématiquement impossible.

Hébergement européen

Infrastructure 100% européenne, conforme RGPD. Vos données ne quittent jamais l'Union européenne.

Audits indépendants

Notre code de chiffrement est audité régulièrement par des cabinets de cybersécurité externes.

Surveillance continue

Détection des fuites de données, alertes si vos identifiants sont compromis sur le dark web.

Preuves vérifiables

La sécurité, démontrée — pas seulement promise

Voici les contrôles de sécurité actifs sur cette page, vérifiés en direct par votre navigateur.

En-têtes HTTP — vérifiés en direct

  • HTTPS forcé (TLS)

  • HSTS — connexion chiffrée verrouillée

  • Content-Security-Policy stricte

  • Anti-clickjacking (X-Frame-Options)

  • Anti-MIME-sniffing

  • Permissions-Policy verrouillée

  • Referrer-Policy stricte

Auditez vous-même : securityheaders.com/?q=tashlight.lovable.app

Garanties techniques

  • Chiffrement zero-knowledge

    Vos données sont chiffrées dans votre navigateur. Même nous ne pouvons pas les lire.

  • Row-Level Security PostgreSQL

    Chaque ligne du coffre est isolée par utilisateur au niveau base de données — pas seulement applicatif.

  • Authentification JWT signée

    Aucune route serveur n'accepte d'identité côté client. Les jetons sont vérifiés cryptographiquement à chaque requête.

  • Anti-CSRF & origin handshake

    Toutes les communications iframe et postMessage exigent une origine vérifiée — pas de wildcard.

  • Stripe PCI-DSS Level 1

    Aucune donnée de carte ne touche nos serveurs. Stripe gère la conformité bancaire mondiale.

  • Validation zod côté serveur

    Toute entrée utilisateur est typée et validée avant d'atteindre la base — injection SQL impossible.

  • Audit logs immuables

    Webhooks signés HMAC, vérifiés par timing-safe equal — replay impossible.

  • Rate-limiting & WAF Cloudflare

    Le trafic passe par le réseau anti-DDoS de Cloudflare avant d'atteindre l'application.

Et si vous oubliez votre mot de passe maître ?

Nous ne pouvons pas le récupérer — c'est précisément ce qui rend votre coffre impénétrable. Mais nous fournissons une clé de récupération chiffrée à imprimer et à conserver en lieu sûr.

Créer mon coffre