Un coffre‑fort photo conçu pour les journalistes qui transportent des documents sensibles sur iPhone

TL;DR

AppVault chiffre les photos, notes et listes de contacts derrière une icône de calculatrice en utilisant AES‑256‑GCM avec des clés protégées par le Secure Enclave de l’iPhone. Pour les journalistes, la menace n’est pas un serveur piraté, mais un douanier qui parcourt votre pellicule. Le Calculator Launcher et le Decoy Vault d’AppVault existent pour ce moment‑là.

La menace est physique

La plupart des outils de protection de la vie privée partent du principe que l’adversaire est à distance — un pirate, un courtier en données, une agence gouvernementale qui écoute les fibres. Pour les journalistes qui couvrent des zones de conflit, des régimes autoritaires ou le crime organisé, l’adversaire est la personne qui se tient devant vous au point de contrôle, votre téléphone à la main.

Le modèle de menace est simple : un agent emporte votre appareil dans une pièce séparée, le parcourt à la frontière ou le confisque lors d’une perquisition. Il ouvre Photos. Il voit l’image du manifestant dont vous avez promis de protéger le visage. Il voit la liste de contacts avec le vrai nom de la source. Il voit la photo géolocalisée du lieu de rendez-vous.

Aucune application de messagerie chiffrée de bout en bout ne protège ce qui est déjà sur l’appareil. Signal, WhatsApp et iMessage protègent les données en transit. AppVault protège les données au repos — les photos, notes et fichiers qui vivent sur le téléphone lui-même.

Lisez l’intégralité du modèle de menace pour savoir ce contre quoi AppVault se défend et ce qu’il ne défend pas.

Pourquoi iCloud Photos neutralise la protection locale

iCloud Photos synchronise l’intégralité de votre pellicule sur les serveurs d’Apple. Si vous utilisez iCloud Photos — ce que font la plupart des utilisateurs d’iPhone — chaque photo que vous prenez est téléchargée, souvent en quelques minutes, via le réseau disponible.

Pour un journaliste, cela signifie :

• La photo de la rencontre avec la source se trouve sur les serveurs d’Apple, protégée par la hiérarchie de clés d’Apple, pas la vôtre.
• Un agent frontalier qui vous force à déverrouiller le téléphone peut parcourir la bibliothèque synchronisée. Le chiffrement local est sans importance une fois l’appareil déverrouillé.
• Si Apple reçoit une demande légale, les photos sont accessibles. Apple publie un rapport de transparence. Les données existent.

AppVault stocke les fichiers localement, chiffrés avec des clés dérivées de votre motif et enveloppées par le Secure Enclave de l’iPhone. Les fichiers ne quittent jamais l’appareil, sauf si vous activez explicitement la sauvegarde iCloud chiffrée – et même dans ce cas, ils sont scellés avec une clé de sauvegarde distincte par appareil avant l’envoi. Apple ne reçoit que du texte chiffré.

La page architecture zéro‑connaissance explique ce qu’AppVault ne peut pas voir, ne peut pas savoir et ne peut pas transmettre.

Calculator Launcher : la couche opérationnelle

Le Calculator Launcher est une calculatrice iOS entièrement fonctionnelle. Elle effectue des opérations arithmétiques. Elle n’affiche aucune interface de coffre. L’accès au coffre se fait par un appui long optionnel sur la touche égale.

Ce n’est pas un artifice. La calculatrice fonctionne. Un agent frontalier qui tape sur l’icône voit une calculatrice. Aucune raison de demander plus.

Cette conception respecte la directive Apple 4.3 (icônes alternatives) car la calculatrice n’est pas un leurre – c’est une calculatrice qui, en plus, protège un coffre. Le raccourci par appui long est optionnel lors de la configuration. Si vous ne l’activez jamais, l’application n’est qu’une calculatrice.

Pour le journaliste au point de contrôle, l’agent voit une calculatrice. Les photos sources, les notes chiffrées, la liste de contacts – tout est derrière AES‑256‑GCM, scellé avec une clé qui réside dans le Secure Enclave.

Decoy Vault : quand un seul appareil sert plusieurs usages

Le Decoy Vault est un second motif 5×5 qui ouvre un catalogue de coffre séparé, mathématiquement indépendant. Les deux coffres ne partagent aucune clé, aucun métadonnée de fichier, aucune relation visible.

L’usage n’est pas la tromperie pour elle-même. C’est une réalité opérationnelle :

• Un iPad familial partagé où un journaliste conserve aussi des fichiers personnels.
• Un appareil qui doit être confié à un collègue ou un fixeur ayant besoin d’accéder à certains documents mais pas à tous.
• Un point de contrôle où l’agent s’attend à voir quelque chose et où vous devez montrer une conformité sans exposer le vrai catalogue.

Le coffre leurre n’est pas un « faux » coffre. C’est un véritable coffre, avec un vrai chiffrement, une vraie dérivation de clé et une vraie protection des fichiers. Il contient simplement un ensemble différent de fichiers. L’agent qui l’ouvre voit un coffre photo fonctionnel. Il ne sait pas qu’un autre existe.

Lisez la page Pattern Lock pour les mathématiques derrière la grille 5×5 et la dérivation de clé qui maintient les deux coffres indépendants.

Notes chiffrées pour les listes de contacts des sources

Les photos ne sont pas le seul vecteur de fuite. Les applications de notes, les listes de contacts et les historiques de messagerie contiennent l’identité des sources, les lieux de rendez-vous et les schémas de communication.

AppVault chiffre les fichiers – y compris les notes textuelles, les PDF et les images – derrière la même couche AES‑256‑GCM. Le catalogue lui-même est chiffré : un attaquant ayant un accès brut ne peut pas savoir combien de fichiers existent, comment ils s’appellent ni quand ils ont été créés.

Un journaliste peut stocker :

• Des listes de contacts de sources avec les vrais noms et numéros.
• Des notes de rendez-vous avec lieux et horodatages.
• Des documents scannés, passeports ou cartes de presse.
• Des enregistrements audio d’interviews.

Tout est scellé derrière la même pile cryptographique. Le chiffrement est AES‑256‑GCM avec un nonce unique de 96 bits par fichier. La dérivation de clé est PBKDF2‑SHA256 à 600 000 itérations avec un sel de 128 bits par installation. La clé dérivée est enveloppée par une clé générée dans le Secure Enclave – une clé qui ne quitte jamais la puce.

Sources primaires : NIST FIPS 197 pour AES, RFC 5116 pour AES‑GCM, Apple Platform Security pour le Secure Enclave, et OWASP Password Storage Cheat Sheet pour le nombre d’itérations.

Ce qu’AppVault ne protège pas

L’honnêteté sur les limites est une qualité, pas une faiblesse.

AppVault ne protège pas contre un adversaire étatique disposant d’une exploitation zero‑click. Les logiciels espions commerciaux – ceux vendus aux gouvernements – agissent au niveau du système d’exploitation. Ils peuvent intercepter les frappes, activer la caméra et exfiltrer les données avant même que le chiffrement au niveau de l’application ne soit appliqué. AppVault agit au niveau de l’application. Il augmente le coût de l’accès, mais ne vainc pas un adversaire qui contrôle déjà l’OS.

AppVault ne protège pas contre la contrainte légale. Si un tribunal vous ordonne de divulguer votre motif, AppVault ne peut pas résister. Le coffre n’est aussi solide que votre volonté de vous conformer – ou non – à l’ordre. La phrase de récupération optionnelle est stockée par vous, sur papier, hors de l’appareil. AppVault n’en a pas de copie.

AppVault ne vous protège pas contre vous-même. Si vous prenez une photo d’une source et l’enregistrez dans la pellicule au lieu du coffre, AppVault ne peut rien y faire. Si vous activez iCloud Photos et que la photo se synchronise avant que vous la déplaciez, l’image est déjà sur les serveurs d’Apple. La sécurité opérationnelle est une pratique, pas un produit.

La page modèle de menace couvre cela en détail.

Comment AppVault se compare à la catégorie

Keepsafe est le leader de la catégorie par nombre d’installations. La comparaison détaillée est sur la page AppVault vs Keepsafe. La différence architecturale : AppVault utilise des clés liées au matériel, publie l’intégralité de sa pile cryptographique avec des citations de sources primaires, et n’effectue aucun appel réseau par défaut.

Vaultaire est le concurrent le plus proche dans la catégorie des coffres à calculatrice. La comparaison détaillée est sur la page AppVault vs Vaultaire.

La plupart des applications de coffre photo financées par la publicité intègrent des SDK tiers qui envoient des données de télémétrie hors de l’appareil. AppVault n’intègre aucun SDK tiers. L’étiquette nutritionnelle de confidentialité indique « aucune donnée collectée ».

Configuration pour le terrain

Un journaliste qui se prépare à passer une frontière ou à faire face à une perquisition n’a pas le temps de configurer les paramètres sous pression. La configuration d’AppVault est conçue pour être effectuée une fois, dans un lieu sûr, avant que l’appareil n’entre dans un environnement hostile.

1. Choisissez un motif que vous pouvez reproduire sous stress. La grille 5×5 offre plus de 700 millions de motifs possibles de 4 points. Choisissez-en un que vous avez mémorisé par un geste moteur, pas intellectuellement. Vous en aurez besoin lorsque vos mains trembleront.

2. Activez le Calculator Launcher. Définissez le raccourci par appui long sur la touche égale. Testez-le. Assurez-vous que la calculatrice fonctionne pour les calculs arithmétiques – car elle sera testée.

3. Configurez le Decoy Vault. Remplissez-le de contenu plausible mais non sensible. Quelques photos personnelles. Une note qui ressemble à une liste de courses. Le leurre ne fonctionne que s’il est crédible.

4. Générez la phrase de récupération. Écrivez-la sur du papier. Stockez-la séparément de l’appareil. C’est le seul moyen de retrouver l’accès si le motif est oublié. Il n’y a pas de réinitialisation. Il n’y a pas de ligne d’assistance.

5. Désactivez iCloud Photos pour la pellicule. Déplacez les photos sensibles existantes dans le coffre. Vérifiez que la pellicule est propre. L’agent qui parcourt l’application Photos ne doit voir que ce qui était déjà public.

6. Testez le flux complet. Verrouillez l’appareil. Déverrouillez-le. Ouvrez la calculatrice. Appui long sur la touche égale. Saisissez le motif. Vérifiez que le coffre s’ouvre. Répétez jusqu’à ce que ce soit automatique.

Le calcul de la saisie de l’appareil

Un agent frontalier qui emporte votre téléphone dans une pièce séparée a une capacité d’attention et un mandat limités. Il cherche de la contrebande, des preuves ou du renseignement. Il n’utilise pas d’outils médico-légaux – du moins pas lors du contrôle primaire.

Ce qu’il voit, c’est l’écran d’accueil. Il voit les applications. Il ouvre Photos. Il parcourt. Il cherche l’évidence.

Le Calculator Launcher d’AppVault fait en sorte que l’évidence soit une calculatrice. Le Decoy Vault garantit que, s’il trouve un coffre, celui-ci contient ce qu’il s’attend à trouver. Le chiffrement garantit que, s’il extrait le stockage brut, il n’obtient que du texte chiffré.

Rien de tout cela n’est absolu. Un laboratoire médico-légal avec un mandat et un boîtier Cellebrite est une menace différente d’un douanier à l’air blasé. AppVault est conçu pour le second. Pour le premier, il vous faut un avocat.

Mais le douanier est la menace la plus fréquente. Le point de contrôle est la rencontre la plus courante. Le moment où l’on remet son téléphone est le moment qui compte.

AppVault est conçu pour ce moment.

Mots‑clés spécifiques à la locale issus des données de recherche réelles

Utilisez ces formulations naturellement dans le titre, le titre principal, l’introduction et au moins une fois dans le corps. Elles reflètent la manière dont les locuteurs natifs cherchent réellement.

(Pas de données de cluster spécifiques à la locale – traduire les mots‑clés par meilleur jugement)