Trusted Codes

FAQ

Questions fréquentes

Tout ce que vous devez savoir sur Trusted Codes.

Pour commencer

Téléchargez l'application, créez votre compte et commencez à ajouter vos contacts de confiance. Lorsque vous rencontrez quelqu'un en personne — famille, amis ou collègues — ajoutez-le à votre coffre-fort. Dès lors, vous pouvez vérifier son identité par une simple vérification de code chaque fois qu'il vous contacte.

Non — chaque couche de Trusted Codes est sécurisée, mais l'application offre l'expérience complète. Les codes invités vous permettent de vérifier n'importe qui instantanément, sans installation requise. Une application web légère (bientôt disponible) offre aux entreprises, sous-traitants et prestataires un portail de vérification de marque pour leurs clients. Et l'application native est le standard de référence : coffres-forts chiffrés de bout en bout, vérification hors ligne et rotation automatique quotidienne des codes — la protection la plus forte disponible.

Absolument. L'application est conçue pour être aussi simple que possible. Une fois configurée, les utilisateurs n'ont qu'à ouvrir l'application et lire trois mots. Aucune connaissance technique requise. Nous recommandons d'aider les proches âgés à configurer leurs contacts en personne.

Si vous perdez votre appareil, vous pouvez accéder à votre compte depuis un nouvel appareil en utilisant votre clé de récupération. Vous devriez également informer vos contacts de confiance que votre appareil a été perdu afin qu'ils soient particulièrement vigilants jusqu'à ce que vous confirmiez que votre nouvel appareil est sécurisé.

Sécurité et confidentialité

C'est possible, mais uniquement dans une fenêtre de 24 heures avant que le code ne change. De plus, cette personne aurait toujours besoin d'une connexion existante avec vous (que vous devriez d'abord approuver) ou de vous piéger pour que vous l'acceptiez comme nouvelle connexion (auquel cas le score de confiance vous alerterait). La durée limitée des codes rend les attaques par rejeu très difficiles.

Avec 100 connexions (utilisateur intensif typique), la probabilité de collision est inférieure à 0,001 %. Si cela se produit, l'application affiche les deux contacts correspondants et vous demande de préciser la personne concernée. Aucune faille de sécurité ne survient — vous choisissez simplement la bonne personne.

Les codes sont basés sur des fenêtres temporelles de 24 heures. Tant que votre horloge est correcte à quelques minutes près, les codes correspondront. L'application peut également vérifier les fenêtres temporelles adjacentes (±15 minutes) pour gérer un léger décalage d'horloge. Si votre horloge est très décalée, l'application affichera un avertissement.

Non. Les codes sont générés sur votre appareil à l'aide du secret chiffré. Le secret est chiffré de bout en bout — seuls vos appareils peuvent le déchiffrer. Nous ne voyons jamais le secret déchiffré, nous ne voyons jamais les codes (ils ne sont pas transmis), et même si nous le voulions, nous ne pouvons pas générer vos codes. C'est ce qu'on appelle une architecture « zero-knowledge ».

Même si nos serveurs sont entièrement compromis, les attaquants n'obtiennent que des données chiffrées qu'ils ne peuvent pas déchiffrer. Vos clés privées ne quittent jamais votre appareil. Vos secrets restent les vôtres. Une violation de serveur est sans conséquence pour votre sécurité — c'est ce qu'on appelle la « protection des données dès la conception ».

Ce sont deux situations différentes. Celui qui vole vos identifiants n'obtient presque rien : les secrets de vérification sont chiffrés de bout en bout par appareil — un mot de passe volé ne suffit pas à générer vos codes. Ajouter un nouvel appareil exige votre clé de récupération ou l'approbation d'un appareil que vous possédez déjà. En revanche, celui qui prend le contrôle de votre appareil déverrouillé peut générer vos codes tant qu'il le détient — le même risque que pour tout identifiant lié à un appareil. Les dégâts restent limités : les secrets sont stockés dans le trousseau sécurisé de l'appareil derrière la biométrie, et il n'existe aucun stockage central des codes — seules les connexions de cette personne sont concernées. La récupération est simple : vos contacts suppriment la connexion et la rétablissent, ce qui génère de nouveaux secrets et invalide définitivement tout ce que l'attaquant a copié. Pour les organisations, les identités Beacon sont liées aux comptes des employés et peuvent être révoquées de manière centralisée dès qu'un appareil est signalé compromis.

Actuellement, non. Les ordinateurs quantiques capables de briser notre chiffrement (X25519) n'existent pas encore et sont estimés à 10-20 ans. Nous suivons activement les normes de cryptographie post-quantique et effectuerons la mise à niveau avant que les ordinateurs quantiques ne deviennent une menace. La génération de codes à trois mots elle-même n'est PAS vulnérable aux ordinateurs quantiques.

Limites et réponses honnêtes

Nous croyons en la transparence sur ce que Trusted Codes peut et ne peut pas faire.

Trusted Codes vérifie qu'une personne est bien celle que vous avez précédemment ajoutée. Il ne peut pas vérifier si la personne que vous avez initialement ajoutée disait la vérité sur son identité. Si vous ajoutez un escroc se faisant passer pour votre banque, la vérification réussira lorsque ce même escroc rappellera. C'est pourquoi vous ne devriez ajouter que des personnes que vous connaissez en personne.

Si quelqu'un vous force à fournir des codes sous la menace, le système ne peut pas le détecter. Nous développons des « codes de détresse » comme fonctionnalité future — des codes spéciaux qui semblent valides mais alertent silencieusement les autorités.

Si quelqu'un vole le téléphone de votre ami et contourne le verrouillage biométrique, cette personne pourrait lire le code de vérification et usurper son identité. C'est pourquoi la vérification devrait être combinée avec d'autres contrôles pour les demandes à haut risque : rappelez-les sur un numéro enregistré, demandez un appel vidéo ou utilisez un mot de passe secret.

Oui ! Une fois que vous avez téléchargé les secrets chiffrés pour vos connexions, tout fonctionne hors ligne. Les secrets sont stockés dans le trousseau sécurisé de votre appareil, la liste de mots est intégrée à l'application et la génération de codes est purement mathématique. Vous pouvez être en mode avion et toujours vérifier.

Tarifs

Oui. Protéger votre famille contre les escroqueries ne devrait pas être un luxe. Notre offre gratuite généreuse couvre la plupart des besoins personnels et familiaux. Nous croyons que tout le monde mérite une protection contre la fraude par usurpation d'identité, quelle que soit sa situation financière.

Nous développons des solutions pour les entreprises et organisations ayant des besoins spécifiques en matière de sécurité. Si vous êtes intéressé, veuillez nous contacter pour discuter de vos besoins.

Cela ne nécessite pas des millions de connexions — c'est précisément le rôle des Beacons. Les connexions 1:1 sont conçues pour des personnes qui se connaissent déjà. Une banque enregistre un seul Beacon au niveau de l'organisation et attribue une identité Beacon à chaque employé qui passe des appels sortants. N'importe quel client peut alors vérifier un code Beacon via une vérification web gratuite — sans installer d'application, sans compte, sans appairage préalable. Le déploiement et la tarification évoluent donc avec les équipes d'appel de la banque, pas avec sa base de clients. Pour un contrôle total sur la résidence des données et l'infrastructure, les grandes institutions peuvent aussi exploiter le service de vérification comme serveur fédéré auto-hébergé : leur propre nœud, leurs propres données, pleinement interopérable avec le reste du réseau.

Vous avez encore des questions ?

Nous sommes là pour vous aider. Contactez-nous et nous vous répondrons dans les meilleurs délais.

Prêt à protéger ce qui compte ?

Commencez en 60 secondes. Gratuit pour les familles.