🔐 Sécurité

Sécurité & chiffrement

Voici les mesures réellement en place — décrites précisément, sans jargon marketing. Ce qui est public par nature est indiqué comme tel.

🔑 Identité décentralisée (zéro mot de passe stocké)

Ton identité EST ta clé NOSTR : il n'existe aucune base de mots de passe centrale à voler. Ta clé privée (nsec) est chiffrée localement par ta phrase secrète (PBKDF2, 600 000 itérations — recommandation OWASP) ; le serveur ne voit jamais ta phrase ni ta clé en clair.

🛡️ Chiffrement de bout en bout (Data IA)

Ta base de connaissance privée (Data IA) est chiffrée côté navigateur (NIP-44 / AES-256-GCM) avant d'atteindre le serveur : il stocke des blocs chiffrés qu'il ne peut pas lire. La consultation se fait dans ton navigateur ou via un pont local — l'accès en clair n'existe que chez toi.

🔏 Sessions signées & jetons par nœud

Les sessions sont signées côté serveur (pas de jeton falsifiable). Chaque nœud du réseau (DATA Spot) reçoit un jeton unique à l'enregistrement (haché au repos) pour empêcher l'usurpation d'identité réseau.

🧱 Protection de l'application

Politique de sécurité du contenu (CSP) globale, contenu utilisateur IPFS isolé en bac à sable (sandbox + téléchargement forcé pour HTML/SVG → anti-XSS), garde CSRF par liste d'origines, garde anti-SSRF sur les appels sortants, et limitation de débit sur les points sensibles.

💳 Intégrité des paiements

Les webhooks de paiement sont vérifiés par signature HMAC-SHA256, avec anti-rejeu (horodatage signé) et idempotence (aucun effet rejoué). L'offre attribuée est TOUJOURS dérivée du prix réellement payé — jamais d'une donnée fournie par le client.

💾 Sauvegardes chiffrées

L'état du service est sauvegardé en AES-256, et la fraîcheur des sauvegardes est surveillée en continu (alerte au-delà de 30 h). Voir le composant « Sauvegardes » sur la page de statut.

🧅 Accès résilient (Tor)

Accès en HTTPS (TLS) et via un service caché Tor (.onion), pour résister à la censure et aux blocages réseau.

🔎 Audits internes réguliers INTERNE (pas encore tiers)

Nous menons des audits de sécurité internes réguliers (revue multi-agents du code) et déployons les correctifs. Par honnêteté : ce sont des audits INTERNES, pas encore une certification par un cabinet tiers — un audit externe est prévu comme prochaine étape de crédibilité.

⚠️ Important : ce qui est public par nature

Un fichier déposé sur IPFS est PUBLIC par défaut (adressé par son empreinte, récupérable par toute passerelle) — c'est le principe d'IPFS, pas un défaut. Pour un contenu confidentiel, utilise l'option de chiffrement par fichier (marqué 🔒) : il est alors chiffré avant l'envoi et illisible sans ta clé. En résumé : le stockage public est public ; le confidentiel passe par le chiffrement.

📬 Signalement de vulnérabilité

Tu as trouvé une faille ? Écris-nous à contact@data-space.world — nous traitons les signalements de sécurité en priorité.

Biorg
assistant DATASPACE
Salut ! 🛸 Je suis Biorg, l'assistant de DATASPACE. Pose-moi une question (IPFS, relais NOSTR, Data IA, tarifs, confidentialité…) ou clique une suggestion.