Aegirex est un coffre-fort B2B zero-knowledge dont chaque choix cryptographique est documenté et traçable jusqu'à un standard publié. Le code est intégralement public sous AGPL-3.0, l'hébergement se fait à Paris en juridiction française, et l'audit chain HMAC-SHA-256 est vérifiable en ligne de commande par un auditeur externe. Cette page récapitule la stack crypto, le modèle de menace formalisé et la marche à suivre pour qu'un RSSI s'en forge un avis fondé sans avoir à nous faire confiance.
L'architecture de sécurité repose sur trois propriétés cumulatives. Chacune est documentée publiquement, vérifiable techniquement et opposable contractuellement. Aucune des trois ne dépend de la bonne foi de l'éditeur.
Le chiffrement OpenPGP.js v6 est exécuté dans le navigateur avant tout envoi serveur. La clé privée ne quitte jamais le poste de l'utilisateur. Un dump complet de la base est inutilisable : le serveur ne voit que des blobs opaques. Aucune réquisition ne peut nous contraindre à livrer un secret en clair, par construction.
Chaque action sensible est consignée et scellée par un HMAC-SHA-256 chaîné selon la RFC 2104. La clé HMAC est isolée de la base applicative. Toute altération rétroactive casse la chaîne et est détectée en O(1) par recalcul. Une commande publique permet à votre RSSI de vérifier l'intégrité du journal sans dépendre d'un binaire éditeur.
Hébergement à Paris sur trois zones de disponibilité dont une en bunker anti-atomique, juridiction française, exploitation par Aegirex SASU. Le code source est publié sous AGPL-3.0, y compris les fonctionnalités payantes. L'auto-hébergement est supporté en Docker Compose ou Kubernetes, sans télémétrie sortante imposée.
Aucune primitive maison, aucun algorithme propriétaire, aucune dépendance à un KMS cloud tiers ou à un HSM externe. Le tableau ci-dessous résume les choix techniques et les standards auxquels ils se rattachent. Le whitepaper cryptographique public détaille chaque ligne.
| Usage | Primitive Aegirex | Standard de référence |
|---|---|---|
| Chiffrement asymétrique | X25519 pour l'échange, Ed25519 pour les signatures | RFC 7748 et RFC 8032 |
| Chiffrement symétrique | AES-256-GCM en mode SEIPDv2 OpenPGP | RFC 9580 (OpenPGP V6) |
| Dérivation de la clé maître | Argon2id : 5 passes, 256 MiB de mémoire, parallelism 4 | RFC 9106 |
| Hashing du mot de passe serveur | Argon2id avec paramètres durcis | RFC 9106 |
| Audit chain et signature webhook | HMAC-SHA-256 chaîné, clé isolée | RFC 2104 et RFC 6234 |
| Génération de nombres aléatoires | crypto.getRandomValues côté navigateur, libsodium côté serveur | W3C Web Crypto et NIST SP 800-90A |
| Bibliothèque cryptographique cliente | OpenPGP.js v6.3 ou supérieure, vendorée et épinglée SRI | Audit indépendant Cure53 |
| Comparaison à temps constant | hash_equals et password_verify côté serveur | OWASP ASVS v4 §6 |
L'architecture Aegirex ne dépend ni d'un KMS cloud américain, ni d'un HSM tiers facturé à l'usage, ni d'un service de wrapping serveur sous juridiction extra-européenne. Toutes les opérations sensibles s'effectuent soit dans le navigateur de l'utilisateur (chiffrement, déchiffrement, signature), soit dans le périmètre serveur que vous contrôlez (hashing, génération aléatoire, audit chain). C'est un choix architectural délibéré, qui simplifie le modèle de menace et élimine les sous-traitants crypto par construction.
Le journal d'audit standard d'un gestionnaire de mots de passe est un log applicatif classique stocké en base. Sa valeur probatoire repose entièrement sur la bonne foi de l'éditeur. Aegirex construit autre chose : une chaîne cryptographique vérifiable indépendamment, par un PASSI ou un expert judiciaire, à partir d'une simple copie figée de la base.
Chaque action consignée (création, modification, consultation, partage, révocation d'un secret, connexion, configuration SSO, déclenchement panic mode) est sérialisée de façon déterministe puis scellée par un HMAC-SHA-256 qui inclut le HMAC de l'événement précédent. La clé HMAC est isolée de la base et pivotable. Toute insertion, modification ou suppression rétroactive casse la chaîne pour tous les événements suivants.
Une commande de vérification publique permet à n'importe quel auditeur disposant d'une copie de la base de recalculer la chaîne complète et de signaler la première discontinuité. Cette commande peut tourner en tâche planifiée sur votre infrastructure et alimenter votre SIEM par un événement d'intégrité positif ou par une alerte typée. Code source AGPL-3.0, exécutable sans binaire fourni par l'éditeur.
Les solutions américaines grand public et la plupart des acteurs européens du coffre-fort d'équipe disposent d'un audit log applicatif classique, modifiable par un administrateur disposant d'un accès direct à la base. Aucun acteur du panel concurrentiel ne propose, à notre connaissance, une chaîne d'audit cryptographique vérifiable en ligne de commande publique. La raison est principalement architecturale : rétro-fitter une telle chaîne sur un produit existant impose de réécrire le modèle d'événements et la stratégie de stockage. Aegirex a fait ce choix dès la conception. La page dédiée à l'audit chain HMAC détaille la construction technique, la procédure de vérification et les cas d'usage RSSI, NIS2 et expertise judiciaire.
Le modèle de menace gestionnaire de secrets Aegirex applique les méthodologies STRIDE (Microsoft) et LINDDUN (KU Leuven) par composant. La version détaillée est publiée dans la documentation technique. La version vitrine ci-dessous résume ce qui est protégé et ce qui ne l'est pas, sans euphémisme.
Le modèle de menace gestionnaire de secrets Aegirex décompose le système en huit composants : navigateur utilisateur, serveur applicatif, base relationnelle, cache, messagerie transactionnelle, receveurs de webhook, extension navigateur planifiée, déploiement self-host de référence. Pour chacun, une matrice STRIDE liste les menaces de spoofing, tampering, repudiation, information disclosure, denial of service et elevation of privilege, avec likelihood, severity et mitigation en regard. Une matrice LINDDUN complémentaire traite les menaces de privacy (linkability, identifiability, detectability, disclosure, non-compliance). La documentation complète est partagée sur demande dans le cadre d'un audit RSSI accompagné.
Votre RSSI dispose de quatre leviers indépendants pour qualifier l'architecture. Aucun ne dépend de la bonne foi de l'éditeur. Aucun n'exige de NDA. Aucun ne nécessite l'intervention de notre équipe pour démarrer.
Votre RSSI peut télécharger l'intégralité du code, y compris les fonctionnalités Pro et Business, depuis le dépôt GitHub public. Le whitepaper cryptographique pointe les fichiers sensibles à relire en priorité. Comptez deux à quatre heures pour une revue ciblée des routines crypto.
Votre RSSI peut exécuter la commande de vérification sur une extraction figée de la base d'une instance pilote. La commande recalcule la chaîne HMAC complète et s'arrête à la première discontinuité. Exécution hors ligne, sans connexion à un service Aegirex.
Les images Docker officielles visent une reproductibilité de bout en bout. Votre RSSI peut reconstruire l'image à partir des sources et comparer le digest avec celui publié. Cette étape détecte toute injection supply-chain en amont du registre.
Votre RSSI peut mandater un prestataire d'audit référencé ANSSI pour une revue indépendante. Aegirex SASU fournit le whitepaper, l'accès au dépôt et l'accompagnement du référent sécurité, sans clause de confidentialité bloquant le rapport final.
Aegirex est conçu en France, opéré par Aegirex SASU, hébergé en France métropolitaine. Les droits ouverts par le RGPD sont implémentés techniquement, pas seulement promis contractuellement.
Droit à la portabilité (Art. 20)
Export JSON complet de votre coffre, secrets chiffrés inclus avec leurs métadonnées d'audit. Format documenté, ré-importable dans toute instance compatible. Aucun verrou propriétaire.
Droit d'opposition (Art. 21)
Opt-out HIBP scan, opt-out télémétrie produit, opt-out notifications marketing. Le fonctionnement nominal du coffre ne dépend d'aucun traitement optionnel.
Droit à l'oubli (Art. 17)
Suppression cascade du compte, des coffres personnels et des memberships. Les hash one-way anonymisés restent dans l'audit chain pour traçabilité légale, conformément à l'Art. 17 §3.b RGPD.
Droit d'accès (Art. 15)
Export de toutes les données personnelles détenues vous concernant, hors plaintext qui n'est jamais en possession de l'éditeur. Délai SLA : 30 jours, conforme RGPD.
DPO désigné. Les coordonnées du Délégué à la Protection des Données sont publiées sur la page Mentions légales. La politique de confidentialité détaille les traitements, les durées de conservation et les bases légales associées.
Aegirex a été conçu pour s'inscrire dans les référentiels sectoriels français. Selon votre métier, plusieurs leviers existent dès aujourd'hui pour répondre à vos exigences : Cloud certifié partenaire, auto-hébergement chez un opérateur déjà qualifié, ou déploiement air-gap.
La qualification SecNumCloud est un objectif visé pour Aegirex Cloud. Sans attendre, la licence AGPL-3.0 permet un déploiement immédiat chez un opérateur SecNumCloud tiers déjà qualifié (OVHcloud, Outscale, Cloud Temple…).
Auto-hébergement chez votre propre hébergeur HDS qualifié dès aujourd'hui. Un Cloud HDS partenaire est planifié sur l'horizon de la trajectoire santé, conditionné à la signature d'un hébergeur HDS partenaire et à un DPA spécifique.
Architecture air-gap possible sur infrastructure interne, code AGPL-3.0 auditable jusqu'au niveau crypto, audit chain HMAC pour la traçabilité opposable aux autorités sectorielles, export SIEM CEF/LEEF/OCSF/Syslog continu.
DPO désigné, droits Art. 15/17/20 outillés en console, hébergement France hors juridiction extra-européenne. La page alternative au CLOUD Act détaille le positionnement juridique.
Aegirex SASU s'engage sur un programme d'audit annuel et publie ses dépendances cryptographiques avec leur état d'audit. Aucune crypto maison, aucune primitive propriétaire : tout est traçable jusqu'à un standard et un audit indépendant publié.
Si vous identifiez une faille de sécurité, signalez-la avant de la rendre publique. Aegirex SASU s'engage sur des délais précis, ne poursuivra aucun chercheur agissant de bonne foi et publie un hall of fame pour créditer les rapports valides.
Canal de signalement
Adresse :
dpo@aegirex.eu.
Une clé PGP publique est mise à disposition pour
chiffrer votre rapport. Le fichier
/.well-known/security.txt conforme à
la RFC 9116 centralise les
coordonnées et la politique de divulgation.
Engagements de délai
Accusé de réception sous 48 heures ouvrées. Plan de remédiation communiqué sous 14 jours. Correctif coordonné publié sous 90 jours maximum. Crédit au chercheur dans le hall of fame public, sauf demande contraire.
Safe harbor
Aucune action en justice n'est engagée contre un chercheur agissant de bonne foi : respect du périmètre annoncé, pas d'exfiltration de données tiers, pas de déni de service volontaire, signalement avant divulgation publique.
Hors périmètre
Phishing utilisateurs, ingénierie sociale du support, dénis de service volumétriques, findings issus exclusivement d'outils automatisés sans validation manuelle. Cf. la page confiance pour le détail.
Les huit questions les plus fréquemment posées lors de la qualification de l'architecture Aegirex par un RSSI, un DSI ou un auditeur PASSI.
Trois lectures suffisent. Le whitepaper cryptographique liste les primitives utilisées (OpenPGP.js v6 avec X25519/Ed25519, Argon2id à 256 MiB de mémoire, AES-256-GCM SEIPDv2, HMAC-SHA-256). La présente page sécurité résume le modèle de menace formalisé. Le code source AGPL-3.0 sur GitHub est intégralement lisible, y compris les fonctionnalités Business. Un RSSI tech-savvy se forge un avis fondé en moins d'une heure, sans signer le moindre NDA.
Oui. La licence AGPL-3.0 autorise l'auto-hébergement sans restriction. Le déploiement de référence est documenté en Docker Compose et Kubernetes. Aucune télémétrie sortante n'est requise pour le fonctionnement nominal : vérifications de version, mises à jour de signatures HIBP et notifications produit sont opt-in. Un déploiement air-gap pour un opérateur OIV ou un site défense est techniquement supporté. Voir la page auto-hébergement pour le détail.
Asymétrique : X25519 pour l'échange de clés et Ed25519 pour les signatures, conformément aux RFC 7748 et 8032. Symétrique : AES-256-GCM en mode SEIPDv2 selon la RFC 9580 OpenPGP. Dérivation : Argon2id à 5 passes, 256 MiB de mémoire, parallelism 4, selon la RFC 9106. Audit : HMAC-SHA-256 chaîné selon la RFC 2104. Génération aléatoire : crypto.getRandomValues côté navigateur et random_bytes côté serveur via libsodium.
OpenPGP.js v6 a fait l'objet d'un audit indépendant par Cure53, cabinet allemand reconnu en sécurité offensive et revue cryptographique. Le rapport est public. Aegirex épingle la version 6.3 ou supérieure et applique une stratégie SRI sur le bundle livré au navigateur. Aucun module crypto propriétaire n'a été développé en interne : les primitives proviennent toutes de bibliothèques publiées et révisées par la communauté.
Chaque événement consigné contient un horodatage, l'identifiant de l'acteur, l'identifiant de la ressource et un HMAC-SHA-256 calculé sur la concaténation de la ligne courante et du HMAC précédent. La clé HMAC est isolée de la base. Toute insertion, modification ou suppression rétroactive casse la chaîne et est détectée par recalcul. Une commande de vérification publique permet à un auditeur externe de constater l'intégrité de la chaîne, sans dépendre d'un binaire fourni par l'éditeur. Détail technique sur la page audit chain HMAC.
Aegirex SASU est une société française, hébergée à Paris dans trois zones de disponibilité dont une en bunker anti-atomique. Aucun sous-traitant ne dispose des clés privées des utilisateurs, qui ne quittent jamais leur navigateur. Une réquisition extra-européenne portée par voie d'entraide judiciaire ne pourrait obtenir que des blobs chiffrés inutilisables. Le code AGPL-3.0 permet par ailleurs un déploiement en juridiction de votre choix. Cf. alternative au CLOUD Act et coffre-fort hébergé en France.
Le modèle de menace Aegirex applique les méthodologies STRIDE (Microsoft) et LINDDUN (KU Leuven) par composant : navigateur, serveur applicatif, base de données, cache, messagerie transactionnelle, webhooks sortants, extension navigateur, déploiement self-host. Les principaux scénarios protégés sont la compromission serveur, la réquisition judiciaire, l'attaquant interne et l'exfiltration via fournisseur tiers. Les compromis assumés (compromission du poste, perte du mot de passe maître, phishing) sont documentés sans détour. La documentation complète est partagée sur demande dans le cadre d'un audit RSSI accompagné.
Adressez votre rapport à
dpo@aegirex.eu,
idéalement chiffré avec la clé PGP publiée dans le
fichier /.well-known/security.txt
conforme à la RFC 9116.
Engagements : accusé de réception sous
48 heures ouvrées, plan de remédiation sous
14 jours, correctif coordonné publié sous
90 jours maximum. Un hall of fame public
crédite les chercheurs ayant produit un rapport
valide. Aucune action en justice n'est engagée
contre un chercheur agissant de bonne foi.
Lisez le code, lancez la vérification d'audit chain sur une extraction de votre instance, mandatez un PASSI référencé ANSSI. Aegirex SASU vous accompagne dans la démarche, partage le whitepaper cryptographique et fournit l'accès au dépôt sans NDA bloquant. Le coût de l'avis fondé sur cette architecture est de quelques heures de votre équipe sécurité, pas d'un cycle commercial de six mois.
