Retour à l'accueil

La sécurité chez Kofra

Dernière mise à jour : 13 juillet 2026.

Kofra est un gestionnaire de mots de passe zéro connaissance : le contenu de votre coffre est chiffré sur votre appareil, avant tout envoi. Nos serveurs stockent uniquement des données chiffrées qu'ils sont techniquement incapables de déchiffrer. Cette page décrit l'architecture pour vos équipes techniques et vos RSSI.

1. Chiffrement de bout en bout

  • Chaque élément du coffre (identifiants, cartes, notes, codes 2FA, passkeys) est chiffré en AES-256-GCM sur votre appareil.
  • La clé de coffre est elle-même chiffrée par une clé dérivée de votre mot de passe maître via PBKDF2-HMAC-SHA256 (600 000 itérations), conformément aux recommandations OWASP. Le client refuse toute tentative d'abaissement de ce paramètre.
  • Le mot de passe maître et la clé de coffre ne quittent jamais votre appareil. Impin ne peut ni les lire, ni les réinitialiser.
  • Le partage entre utilisateurs est chiffré de bout en bout (ECDH, clés épinglées à la première utilisation) : le serveur relaie des blobs chiffrés sans pouvoir les ouvrir ni élever les permissions.

2. Ce que nos serveurs voient, et ne voient pas

Nos serveurs stockent :

  • votre e-mail de compte et les paramètres de dérivation de clé ;
  • le contenu du coffre, exclusivement sous forme chiffrée ;
  • des métadonnées minimales : type d'élément, empreinte HMAC de domaine (irréversible côté serveur), horodatages, e-mail du destinataire d'un partage.

Nos serveurs ne voient jamais : vos mots de passe, identifiants, notes, numéros de carte, graines TOTP, clés privées de passkeys, ni les sites que vous visitez en clair.

3. Hébergement en France

L'ensemble des données est hébergé par OVH SAS(Roubaix, France), société française, sur le territoire français. Aucune donnée n'est transférée hors de l'Union européenne.

4. Aucune télémétrie

L'extension Kofra ne contient aucun outil d'analytics, de télémétrie, de crash reporting ni de tracking. Un seul service tiers est utilisé : la vérification de mots de passe compromis via Have I Been Pwned, en k-anonymat : seuls les 5 premiers caractères d'une empreinte SHA-1 sont transmis, jamais un mot de passe ni une empreinte complète.

5. Sécurité de l'extension

  • Déchiffrement uniquement dans le service worker de l'extension ; les scripts injectés dans les pages ne reçoivent que les valeurs strictement nécessaires au remplissage.
  • Verrouillage automatique après inactivité ; presse-papiers effacé 60 secondes après une copie.
  • Transport TLS uniquement ; adresse du serveur verrouillée dans le code en production.
  • Aucun code distant : tout le code est livré dans le paquet signé des stores (Chrome Web Store, Mozilla).

6. Vos droits (RGPD)

  • Portabilité : export JSON complet de votre coffre depuis les paramètres de l'extension.
  • Effacement : suppression de compte intégrée à l'extension (Paramètres → Supprimer le compte), avec effacement des données côté serveur.
  • Détails dans notre politique de confidentialité et nos mentions légales.

7. Signaler une vulnérabilité

Écrivez à [email protected] avec une description et les étapes de reproduction. Nous accusons réception sous 72 h et corrigeons les vulnérabilités critiques confirmées sous 14 jours. La recherche de bonne foi sur vos propres comptes est la bienvenue ; n'accédez jamais aux données d'autres utilisateurs.