Aegirex consigne chaque action dans une chaîne
d'événements liés par HMAC-SHA-256. Toute modification
rétroactive casse la chaîne et est détectée par la commande
bin/console aegirex:audit:verify. Ce mécanisme,
ouvert au public sous AGPLv3, n'est proposé par aucun autre
gestionnaire de mots de passe B2B du panel concurrentiel.
Le journal d'audit d'un gestionnaire de mots de passe est censé répondre à une question simple : qui a accédé à quel secret, et quand. Dans la grande majorité des produits du marché, ce journal est un classique log applicatif stocké en base. Il est exploitable, mais sa valeur probatoire repose entièrement sur la bonne foi de l'éditeur et sur l'absence d'un administrateur disposant d'un accès SQL direct. Un acteur malveillant disposant d'un tel accès peut altérer ou supprimer rétroactivement une entrée sans laisser de trace.
Cette limite est documentée publiquement dans plusieurs référentiels sécurité. L'ANSSI rappelle, dans ses recommandations sur la journalisation, qu'un journal doit être intègre et qu'il convient d'utiliser des mécanismes cryptographiques pour empêcher toute modification non détectée. Le NIST, dans le SP 800-92 consacré à la gestion des journaux, identifie l'intégrité cryptographique comme un contrôle de défense en profondeur recommandé pour les journaux sensibles.
Dans un contexte B2B exigeant — secret professionnel, secteur réglementé, sous-traitance critique, NIS2 — la question n'est plus seulement « avons-nous un journal d'audit » mais « ce journal est-il cryptographiquement vérifiable indépendamment de l'éditeur ». La réponse standard du marché à cette question est « faites-nous confiance ». La réponse Aegirex est « lancez la commande et vérifiez vous-même ».
La section suivante détaille comment cette garantie est construite techniquement et pourquoi elle est difficile à rétro-fitter sur un produit existant.
Quatre propriétés cumulatives transforment le journal d'audit en preuve cryptographique vérifiable, et non en promesse contractuelle.
Chaque événement d'audit contient le HMAC SHA-256 du précédent. Toute insertion, modification ou suppression rétroactive casse la séquence et est détectée. Conforme RFC 2104 (HMAC) et RFC 6234 (SHA-256).
La commande
bin/console aegirex:audit:verify
recalcule la chaîne et signale la première
discontinuité. Le code de la commande est
public sous AGPLv3, exécutable par n'importe
quel auditeur disposant d'une copie de la base.
La vérification ne nécessite ni connexion à un service Aegirex ni clé fournie par l'éditeur. Le PASSI ou l'auditeur exécute la commande sur son propre poste, à partir d'une extraction figée de la base.
Le flux temps réel exporté vers le SIEM embarque les HMAC. Le SIEM peut donc détecter une désynchronisation entre la base d'origine et le flux reçu. Formats CEF, LEEF, OCSF, Syslog.
Le journal d'audit Aegirex repose sur une structure simple et solide. Chaque événement est une ligne sérialisée déterministe contenant un horodatage monotone, l'identifiant de l'acteur, l'identifiant de la ressource, le type d'action et le HMAC-SHA-256 calculé sur la concaténation de cette ligne et du HMAC de l'événement précédent. La clé HMAC est propre à l'instance, conservée hors de la base, et pivotable. Cette construction est conforme à la RFC 2104 pour HMAC et à la RFC 6234 pour la famille SHA-2, et s'inspire des bonnes pratiques décrites dans le NIST SP 800-92 sur la gestion des journaux.
La commande
bin/console aegirex:audit:verify
parcourt l'intégralité de la table d'audit, recalcule
le HMAC de chaque ligne à partir du précédent, et
s'arrête à la première discontinuité. L'opération est
linéaire en nombre d'événements et exécutable hors
ligne sur une copie figée de la base, ce qui permet
une vérification par un auditeur externe sans accès
runtime à l'instance. Le code source de la commande
étant publié sous AGPLv3, l'auditeur peut le relire
et l'exécuter à partir de ses propres binaires, sans
dépendre d'un livrable fourni par Aegirex.
Les événements consignés couvrent l'ensemble des actions sensibles du coffre-fort équipe : création, modification, suppression, consultation, partage et révocation d'un secret ; création, modification et suppression d'une organisation, d'un membre ou d'un rôle ; ouverture et clôture de session, modification du facteur d'authentification ; configuration SSO SAML 2.0 et OIDC, provisioning SCIM 2.0 ; déclenchement des actions sensibles (rotation, export, panic mode). Chaque entrée porte son propre HMAC et le HMAC chaîné, qui est lui-même vérifiable indépendamment.
Les sources publiques de référence pour cette architecture sont la RFC 2104 (HMAC), la RFC 6234 (SHA-2), le NIST SP 800-92 sur la gestion des journaux de sécurité, et les recommandations de l'ANSSI sur la journalisation. La page sécurité et la page confiance récapitulent ces références dans le whitepaper cryptographique de Aegirex.
Tableau impersonnel comparant l'audit chain HMAC Aegirex aux deux grandes familles de journaux présentes sur le marché. Aucun nom de marque.
| Critère | Aegirex · audit chain HMAC | Solutions américaines grand public | Solutions communautaires self-host |
|---|---|---|---|
| Type de journal | Chaîne HMAC-SHA-256 immuable | Log applicatif en base relationnelle | Log applicatif en base, parfois fichier |
| Modification rétroactive détectable | Oui, par recalcul de la chaîne | Non sans contrôle d'accès strict côté DB | Variable, dépend de la configuration |
| Vérification indépendante de l'éditeur | Oui, CLI publique AGPLv3 | Non, dépend des outils éditeur | À construire soi-même |
| Code de la vérification | Public AGPLv3, relisable | Propriétaire, non auditable | Public selon le projet |
| Disponibilité dans le plan gratuit | Inclus dès le plan Gratuit | Réservé aux tiers Business ou Enterprise | Inclus, à opérer soi-même |
| Export SIEM avec HMAC chaîné | CEF, LEEF, OCSF, Syslog | Formats classiques, HMAC non transporté | À configurer manuellement |
| Adapté à un audit PASSI ou expertise judiciaire | Oui, vérification reproductible offline | Selon dispositif éditeur | Selon configuration et compétence interne |
Trois profils d'organisations pour lesquels l'audit chain HMAC Aegirex fait basculer la décision d'achat.
Le secret professionnel de l'avocat n'est pas négociable. La traçabilité des accès aux dossiers clients doit tenir devant le bâtonnier comme devant un juge. La chaîne HMAC chaînée tient lieu de convention de preuve technique : aucun administrateur, y compris côté éditeur, ne peut modifier rétroactivement un accès sans laisser de trace. Cf. verticales métiers.
Les opérateurs essentiels et importants au sens de la directive NIS2 doivent prouver la gestion des accès, la traçabilité et la chaîne de responsabilité. L'audit chain HMAC fournit une traçabilité opposable, exportable en continu vers le SOC interne ou externalisé, et vérifiable offline par l'autorité de contrôle en cas d'investigation post-incident.
Un cabinet conseil en cybersécurité qui audite ses
propres clients ne peut pas conserver les secrets
de ses missions dans un coffre dont la traçabilité
repose sur la bonne foi de l'éditeur. La commande
aegirex:audit:verify permet au client
final de vérifier lui-même l'intégrité du journal
en fin de mission, sans avoir à faire confiance ni
au cabinet ni à l'éditeur du coffre.
Les huit questions les plus posées par les RSSI, DSI et auditeurs PASSI lors de la qualification de l'audit chain Aegirex.
Une audit chain HMAC vérifiable est un journal d'audit dont chaque entrée est scellée par un code d'authentification de message HMAC-SHA-256, et dont le HMAC inclut le HMAC de l'entrée précédente. La chaîne forme une structure cryptographique où toute modification, suppression ou insertion rétroactive d'un événement casse la séquence et est détectée en O(1) par recalcul. La RFC 2104 spécifie HMAC ; la RFC 6234 spécifie SHA-256.
La commande
bin/console aegirex:audit:verify,
livrée avec l'application, recalcule la chaîne
complète et signale toute discontinuité. Elle peut
être exécutée par un administrateur, par un
auditeur externe en possession d'une copie de la
base, ou intégrée à une procédure d'audit
récurrente. Le code source de la commande est
public sous AGPLv3, ce qui permet à un PASSI de
l'exécuter sans dépendre d'un binaire fourni par
Aegirex.
La plupart des gestionnaires de mots de passe disposent d'un audit log applicatif classique, stocké en base, accessible et modifiable par un administrateur disposant d'un accès SQL. Ce type de journal n'apporte aucune garantie cryptographique de non-altération. Construire une chaîne HMAC vérifiable demande de penser la cryptographie au moment de la conception du modèle d'événements et de la stratégie de stockage, ce qui est difficile à rétro-fitter sur un produit existant.
Oui. La chaîne d'audit HMAC-SHA-256 est incluse dès le plan Gratuit, sans limitation cryptographique. Ce qui varie entre les plans, c'est la durée de rétention du journal d'audit (Pro, Business, Enterprise) et les formats d'export (CEF, LEEF, OCSF, Syslog). La garantie cryptographique d'intégrité est constante. Détail sur la page tarifs.
L'audit chain n'a pas de valeur probatoire automatique au sens d'une signature électronique qualifiée eIDAS. En revanche, l'apport cryptographique de la chaîne HMAC est qu'elle permet à un expert judiciaire ou à un auditeur de vérifier l'intégrité du journal sans dépendre de la bonne foi de l'éditeur. Pour les cabinets d'avocats, c'est un élément de convention de preuve solide. Pour les opérateurs sous NIS2, c'est un élément de traçabilité opposable aux autorités sectorielles.
Le journal consigne les événements suivants : création, modification, suppression, consultation, partage et révocation d'un secret ; création, modification, suppression d'une organisation, d'un membre ou d'un rôle ; ouverture et clôture de session, modification du facteur d'authentification ; configuration SSO et SCIM ; déclenchement des actions sensibles (rotation, export, panic mode). Chaque entrée contient un horodatage, l'identifiant de l'acteur, l'identifiant de la ressource et le HMAC chaîné du précédent.
Les événements sont exportables en temps réel ou en lot aux formats CEF, LEEF et OCSF, configurables dès le plan Pro et natifs en Business et Enterprise. Le HMAC chaîné est inclus dans la trame exportée, ce qui permet au SIEM de détecter toute désynchronisation entre le flux temps réel et la base d'origine. Les destinations supportées incluent les principaux collecteurs Syslog ainsi que les SIEM du marché.
Non, à condition que la vérification soit
exécutée. Toute insertion, modification ou
suppression rétroactive d'un événement modifie le
HMAC de cet événement et donc casse la chaîne
pour tous les événements suivants. La commande
aegirex:audit:verify détecte la
première discontinuité en O(n). Pour les
organisations sensibles, la vérification peut
être planifiée quotidiennement et son résultat
envoyé au SIEM en tant qu'événement d'intégrité.
La cryptographie d'intégrité est incluse dès le
plan gratuit. La commande de vérification est
publique. Le code source est sous AGPLv3. Vous
pouvez exécuter
bin/console aegirex:audit:verify sur
une extraction de votre propre base, sans
intervention de notre part. Cf. également
coffre-fort équipe hébergé en France.
