Architecture Zero-Knowledge : ce que cela signifie pour vos données

Dans un système zero-knowledge, le fournisseur de service n'a aucune connaissance de vos données. Pas un « accès limité », pas un « chiffrement au repos » — littéralement zéro. Le chiffrement et le déchiffrement se font entièrement sur votre appareil, et le serveur ne voit que du texte chiffré qu'il ne peut pas déchiffrer. Ce n'est pas un argument marketing. C'est une propriété architecturale vérifiable : si les clés n'atteignent jamais le serveur, aucun employé, aucun attaquant et aucune ordonnance judiciaire ne peut contraindre l'entreprise à produire votre texte en clair, car l'entreprise ne le possède pas.

Le terme vient de la cryptographie, où les « preuves à divulgation nulle de connaissance » permettent à une partie de prouver qu'une affirmation est vraie sans révéler les informations sous-jacentes. L'usage produit étire la signification originale, mais l'esprit est identique : le système doit être conçu pour que la connaissance soit détenue par l'utilisateur et lui seul, avec les mathématiques — et non des promesses — qui font respecter cette frontière.

Pourquoi c'est important

La plupart des services cloud chiffrent vos données en transit et au repos — mais ils détiennent les clés. Cela signifie qu'une violation de données, un employé malveillant, une erreur de configuration interne ou une injonction judiciaire peut exposer vos informations. Le zero-knowledge élimine entièrement ce vecteur. Quand les clés ne touchent jamais le serveur, la question « le fournisseur peut-il voir mes données ? » obtient une réponse mathématique au lieu d'une réponse politique.

Les implications dépassent la vie privée. Les architectures zero-knowledge réduisent l'exposition réglementaire du fournisseur, simplifient la conformité avec des cadres comme le RGPD et HIPAA, et rendent les réponses aux injonctions nettement plus simples : il n'y a rien à remettre. Pour les usages sensibles — planification successorale, documents juridiques, dossiers médicaux, phrases de récupération — cette propriété n'est pas un luxe. C'est la seule base crédible.

Comment Keeplas l'implémente

Lorsque vous créez un coffre-fort dans Keeplas, une phrase de récupération de 24 mots est générée sur votre appareil à l'aide d'un générateur de nombres aléatoires cryptographiquement sûr et ne le quitte jamais. À partir de cette phrase, nous dérivons localement une Clé Racine avec Argon2id, une fonction de dérivation de clé memory-hard choisie spécifiquement parce qu'elle résiste aux attaques par force brute sur GPU et ASIC. La Clé Racine enveloppe ensuite la clé maître AES-256-GCM qui chiffre le contenu de votre coffre-fort.

Les clés par destinataire et les fragments de récupération sont en outre enveloppés avec ML-KEM-768 post-quantique, un algorithme à base de réseaux euclidiens sélectionné par le NIST comme l'une des premières défenses standardisées contre les futurs ordinateurs quantiques. Tout cela se produit avant la moindre requête réseau. Le texte en clair, la phrase de récupération et les clés dérivées n'apparaissent jamais sur le réseau.

Le résultat est un système où nos serveurs ne sont que des gardiens de blobs chiffrés. Même si notre infrastructure entière était compromise — chaque base de données, chaque sauvegarde, chaque journal — vos données resteraient illisibles sans votre phrase de récupération de 24 mots ou un quorum de récupération sociale réussi.

Comment vérifier une promesse zero-knowledge

Le zero-knowledge est facile à revendiquer et difficile à prouver. Lorsque vous évaluez un fournisseur, posez trois questions. Premièrement, où la clé est-elle dérivée et stockée ? Si le serveur touche la clé maître ou la phrase de récupération à un quelconque moment, la propriété est perdue. Deuxièmement, le client est-il open source ? Sans code auditable, vous ne pouvez pas vérifier que le chiffrement se produit là où il est censé se produire. Troisièmement, le système applique-t-il le zero-knowledge à la récupération de compte ? Beaucoup de fournisseurs basculent vers des clés détenues par le serveur dès que vous cliquez sur « mot de passe oublié ».

Le compromis à connaître

Le zero-knowledge implique une responsabilité : si vous perdez votre phrase de récupération de 24 mots sans mécanisme de récupération en place, vos données sont perdues. Il n'y a pas de ticket de support, pas de réinitialisation de mot de passe, pas de contournement. C'est pourquoi Keeplas associe le zero-knowledge à la récupération sociale — un schéma de partage de secret de Shamir, chaque fragment étant enveloppé par le post-quantique ML-KEM-768, qui permet à des contacts de confiance de vous aider à retrouver l'accès sans jamais voir vos données.

Cette combinaison — cryptographie côté client solide plus récupération à dimension humaine — vous offre les garanties de vie privée d'un portefeuille matériel avec la résilience d'un service géré. C'est l'architecture que l'héritage numérique attendait.