Glossaire de la sécurité et du chiffrement
Explications en langage clair des concepts de sécurité derrière Vaulted.
AES-256-GCM
AES-256-GCM est un algorithme de chiffrement symétrique qui combine l’Advanced Encryption Standard, une clé de 256 bits et le mode Galois/Counter, offrant ainsi la confidentialité et une vérification d’intégrité intégrée en une seule opération.
Architecture zero-knowledge
L’architecture zero-knowledge est une conception de système dans laquelle le fournisseur de service n’a aucun moyen de lire ou de déchiffrer les données stockées pour le compte des utilisateurs, parce que toutes les opérations de chiffrement et de déchiffrement se déroulent côté client.
Attaque de l'homme du milieu
Une attaque de l'homme du milieu (MITM) est une cyberattaque dans laquelle un attaquant intercepte secrètement — et potentiellement modifie — la communication entre deux parties qui croient communiquer directement entre elles.
Attaque par force brute
Une attaque par force brute est une méthode cryptanalytique qui tente de découvrir un mot de passe, une clé de chiffrement ou un autre secret en testant systématiquement toutes les combinaisons possibles jusqu'à trouver la valeur correcte.
Authentification multifacteur
L'authentification multifacteur (MFA) est une méthode d'authentification qui exige d'un utilisateur qu'il présente deux identifiants indépendants ou plus issus de catégories différentes — quelque chose que l'on sait ; quelque chose que l'on possède ; ou quelque chose que l'on est — avant d'accorder l'accès.
Authentification unique
L'authentification unique (SSO, Single Sign-On) est un schéma d'authentification qui permet à un utilisateur de s'authentifier une seule fois auprès d'un fournisseur d'identité central, puis d'accéder à plusieurs applications et services indépendants sans qu'on lui redemande ses identifiants.
Autorité de certification
Une autorité de certification (AC) est une organisation de confiance externe qui émet, signe et gère des certificats numériques afin de vérifier l'identité d'entités — sites web, organisations ou appareils — au sein d'une infrastructure à clés publiques.
bcrypt
bcrypt est une fonction de hachage de mots de passe fondée sur le chiffrement par bloc Blowfish, qui intègre un sel et un facteur de coût configurable. Elle est conçue pour être coûteuse en calcul d'une manière qui résiste spécifiquement à l'accélération par GPU et par matériel spécialisé.
Chiffrement asymétrique
Le chiffrement asymétrique est un système cryptographique qui utilise une paire de clés mathématiquement liées — une clé publique que quiconque peut utiliser pour chiffrer des données, et une clé privée que seul le propriétaire détient pour déchiffrer —, de sorte qu’aucun partage préalable d’une clé secrète n’est nécessaire.
Chiffrement au repos
Le chiffrement au repos est la pratique consistant à stocker les données sous forme chiffrée sur un support persistant — comme des disques, des bases de données ou des supports de sauvegarde —, de sorte que les données restent protégées même si le support de stockage est compromis.
Chiffrement côté client
Le chiffrement côté client est la pratique consistant à chiffrer les données sur l’appareil de l’utilisateur — généralement dans un navigateur ou une application native — avant de les transmettre à un serveur. Le serveur ne reçoit et ne stocke ainsi que des données chiffrées.
Chiffrement de bout en bout
Le chiffrement de bout en bout (E2EE) est une méthode de communication dans laquelle les données sont chiffrées sur l’appareil de l’expéditeur et ne peuvent être déchiffrées que sur l’appareil du destinataire. Aucun intermédiaire — y compris le fournisseur de service — ne peut accéder au contenu en clair.
Chiffrement en transit
Le chiffrement en transit est la pratique consistant à chiffrer les données pendant leur transmission entre deux systèmes sur un réseau, généralement implémentée via TLS (Transport Layer Security) ou son prédécesseur SSL, afin d’empêcher l’interception et l’altération.
Chiffrement symétrique
Le chiffrement symétrique est une méthode cryptographique dans laquelle la même clé secrète est utilisée à la fois pour le chiffrement et le déchiffrement. L’expéditeur comme le destinataire doivent posséder une clé identique pour chiffrer et déchiffrer les données.
Contrôle d'accès
Le contrôle d'accès est l'ensemble des mécanismes et politiques de sécurité qui régissent quels utilisateurs, systèmes ou processus peuvent accéder à des ressources données, et quelles actions ils sont autorisés à effectuer sur ces ressources.
Contrôle d'accès fondé sur les rôles
Le contrôle d'accès fondé sur les rôles (RBAC) est un modèle de contrôle d'accès dans lequel les permissions sont attribuées à des rôles — comme administrateur, éditeur ou lecteur — et les utilisateurs obtiennent des permissions par leur affectation à ces rôles, plutôt qu'en les gérant directement sur des comptes individuels.
Dérivation de clé
La dérivation de clé est le processus consistant à transformer une valeur source — généralement un mot de passe, une phrase secrète ou un secret partagé — en une ou plusieurs clés cryptographiques à forte entropie au moyen d’un algorithme déterministe.
Élévation de privilèges
L'élévation de privilèges est une technique d'attaque dans laquelle un attaquant exploite une vulnérabilité, une mauvaise configuration ou des identifiants volés pour obtenir des permissions supérieures à celles initialement autorisées — généralement passer d'un utilisateur normal à un compte administrateur ou root.
Encapsulation de clé
L'encapsulation de clé est une opération cryptographique qui chiffre une clé (la clé de charge utile) à l'aide d'une autre clé (la clé d'encapsulation ou clé de chiffrement de clés), apportant confidentialité et intégrité au matériel de clé lors de son stockage ou de son transport.
Exfiltration de données
L'exfiltration de données est le transfert non autorisé de données depuis les systèmes d'une organisation vers un emplacement externe contrôlé par un attaquant — par des techniques réseau, des supports physiques ou des comptes compromis.
Fragment d’URL
Un fragment d’URL est la partie d’une URL qui apparaît après le symbole dièse (#). Conformément au RFC 3986, les navigateurs traitent les fragments exclusivement côté client et ne les incluent jamais dans les requêtes HTTP adressées au serveur.
Fuite de données
Une fuite de données est un incident de sécurité au cours duquel des données sensibles, protégées ou confidentielles sont consultées, divulguées ou volées par une partie non autorisée — que ce soit par une attaque, une menace interne, une mauvaise configuration ou une divulgation accidentelle.
Gestion des identifiants
La gestion des identifiants est l’ensemble des politiques, processus et outils permettant de gérer en toute sécurité le cycle de vie complet des identifiants — y compris la création, le stockage sécurisé, le partage contrôlé, la rotation régulière et la révocation en temps voulu.
Gestion des secrets
La gestion des secrets est la discipline qui consiste à stocker, distribuer, faire tourner et auditer en toute sécurité des identifiants sensibles — comme des clés API, des mots de passe, des tokens, des certificats et des clés de chiffrement — à travers les applications, l’infrastructure et les équipes.
Hachage de mots de passe
Le hachage de mots de passe est la pratique consistant à appliquer à un mot de passe une fonction cryptographique à sens unique et coûteuse en calcul — combinée à un sel unique — pour produire une empreinte de longueur fixe capable de vérifier le mot de passe sans le stocker sous une forme récupérable.
Hameçonnage
L'hameçonnage (phishing) est une attaque d'ingénierie sociale dans laquelle un attaquant envoie des communications frauduleuses — généralement des e-mails, des SMS ou des messages instantanés — en se faisant passer pour une entité de confiance, afin d'inciter les destinataires à révéler des informations sensibles, à cliquer sur des liens malveillants ou à installer des logiciels malveillants.
HIPAA
HIPAA (Health Insurance Portability and Accountability Act) est une loi fédérale américaine qui fixe des normes nationales pour protéger la vie privée et la sécurité des informations de santé identifiables individuellement, connues sous le nom de Protected Health Information (PHI).
HMAC
HMAC (Hash-Based Message Authentication Code) est un mécanisme cryptographique qui combine une fonction de hachage cryptographique avec une clé secrète pour produire un code d’authentification de longueur fixe. Le destinataire peut ainsi vérifier à la fois l’intégrité et l’authenticité d’un message.
Infrastructure à clés publiques
L'infrastructure à clés publiques (PKI) est un cadre complet de rôles, politiques, matériels, logiciels et procédures servant à créer, gérer, distribuer, stocker et révoquer les certificats numériques et les paires de clés publiques-privées associées.
Ingénierie sociale
L'ingénierie sociale est une classe de techniques d'attaque qui manipulent la psychologie humaine — confiance, peur, urgence ou serviabilité — pour amener des personnes à révéler des informations confidentielles, accorder un accès non autorisé ou effectuer des actions qui compromettent la sécurité.
Journal d'audit
Un journal d'audit est un enregistrement chronologique et inviolable des événements et activités d'un système — y compris les actions des utilisateurs, les tentatives d'accès, les changements de configuration et les événements de sécurité — tenu à des fins de responsabilité, de conformité réglementaire et d'analyse forensique.
JSON Web Token
Un JSON Web Token (JWT) est un format de jeton compact et sûr pour les URL, défini dans le RFC 7519, qui représente des revendications entre deux parties sous la forme d'un objet JSON signé numériquement, permettant une authentification sans état et l'échange d'informations.
Messages autodestructeurs
Les messages autodestructeurs sont des messages ou des données partagées conçus pour être supprimés automatiquement et définitivement après un certain nombre de consultations ou à l’issue d’une durée définie.
Nonce
Un nonce (Number Used Once) est une valeur unique, généralement aléatoire ou séquentielle, utilisée exactement une fois dans une opération cryptographique afin de garantir que des entrées identiques produisent des sorties différentes. Cela empêche les attaques par rejeu et l’analyse de motifs.
OAuth
OAuth 2.0 est un cadre d'autorisation ouvert qui permet à une application tierce d'obtenir un accès limité aux ressources d'un utilisateur sur un autre service — comme son profil ou ses données — sans que l'utilisateur ait à partager son mot de passe avec le tiers.
Partage de secrets
Le partage de secrets, dans le contexte de la gestion des identifiants, désigne la pratique consistant à transmettre des informations sensibles — comme des mots de passe, des clés API ou des clés privées — entre des parties via un canal qui minimise la divulgation, limite la persistance et empêche tout accès non autorisé.
PBKDF2
PBKDF2 (Password-Based Key Derivation Function 2) est un algorithme de dérivation de clé défini par le RFC 8018 qui applique de manière itérative une fonction pseudo-aléatoire — généralement HMAC-SHA-256 — à un mot de passe et à un sel pour produire une clé dérivée coûteuse à casser par force brute en termes de calcul.
PCI-DSS
PCI-DSS (Payment Card Industry Data Security Standard) est un ensemble d'exigences de sécurité établi par le PCI Security Standards Council pour protéger les données des titulaires de cartes et garantir que toutes les organisations qui traitent, stockent ou transmettent des informations de cartes bancaires maintiennent un environnement sécurisé.
Prévention des pertes de données
La prévention des pertes de données (DLP) est un ensemble de stratégies, d'outils et de processus conçus pour détecter et empêcher le transfert non autorisé, la perte ou l'exfiltration de données sensibles hors d'une organisation — intentionnels ou accidentels.
Principe du moindre privilège
Le principe du moindre privilège est un concept de sécurité qui énonce qu’il faut accorder à chaque utilisateur, processus ou système le niveau d’accès minimal — et pour la durée minimale — nécessaire à l’exercice de sa fonction autorisée.
Rançongiciel
Un rançongiciel (ransomware) est un logiciel malveillant qui chiffre les fichiers d'une victime ou la verrouille hors de ses systèmes, puis exige un paiement — généralement en cryptomonnaie — en échange de la clé de déchiffrement ou du rétablissement de l'accès.
RGPD
Le RGPD (Règlement général sur la protection des données) est une loi complète de protection des données de l'Union européenne qui encadre la manière dont les organisations collectent, traitent, stockent et partagent les données personnelles des personnes situées dans l'UE et l'Espace économique européen.
Rotation de clés
La rotation de clés est la pratique de sécurité consistant à remplacer régulièrement les clés cryptographiques ou identifiants actifs par des éléments nouvellement générés, et à mettre hors service ou révoquer les anciennes clés, afin de limiter la fenêtre d'exposition en cas de compromission.
RSA
RSA (Rivest-Shamir-Adleman) est un algorithme cryptographique asymétrique dont la sécurité repose sur la difficulté de calcul à factoriser le produit de deux grands nombres premiers. Il est utilisé pour le chiffrement, les signatures numériques et l’échange de clés sécurisé.
Secrets éphémères
Les secrets éphémères sont des éléments de données sensibles — comme des mots de passe, des tokens ou des clés — délibérément conçus pour n’exister que pendant une durée limitée ou un nombre limité d’accès, avant d’être détruits de façon définitive et irréversible.
Sel (cryptographie)
Un sel cryptographique est une valeur aléatoire combinée à un mot de passe ou à une autre entrée avant que celle-ci ne soit traitée par une fonction de hachage ou de dérivation de clé. Il garantit que des entrées identiques produisent des sorties différentes et rend inopérantes les tables d’attaque précalculées.
SHA-256
SHA-256 (Secure Hash Algorithm, 256 bits) est une fonction de hachage cryptographique de la famille SHA-2 qui prend une entrée de longueur arbitraire et produit un condensé de 256 bits (32 octets) de taille fixe. Elle est conçue comme une fonction à sens unique dont la sortie ne révèle rien sur l’entrée.
Signature numérique
Une signature numérique est un schéma cryptographique qui utilise une clé privée pour générer une signature sur un message ou un document. Quiconque dispose de la clé publique correspondante peut vérifier la signature pour confirmer l’authenticité et l’intégrité des données.
SOC 2
SOC 2 (System and Organization Controls 2) est un cadre d'audit développé par l'AICPA qui évalue les contrôles d'une organisation de services en matière de sécurité, de disponibilité, d'intégrité du traitement, de confidentialité et de protection de la vie privée — les Trust Services Criteria.
Texte chiffré
Le texte chiffré est la sortie d’un algorithme cryptographique : une représentation brouillée des données d’origine, illisible sans la clé de déchiffrement correspondante.
Texte en clair
Le texte en clair désigne des données sous leur forme originale, non chiffrée et lisible par un humain. En cryptographie, il désigne l’entrée d’un algorithme de chiffrement ou la sortie d’un algorithme de déchiffrement.
TLS/SSL
TLS (Transport Layer Security) est un protocole cryptographique qui offre confidentialité, intégrité des données et authentification pour la communication entre deux parties sur un réseau. SSL (Secure Sockets Layer) est son prédécesseur obsolète ; les références modernes à « SSL » désignent presque toujours TLS.
Vecteur d’initialisation
Un vecteur d’initialisation (IV) est une valeur aléatoire ou pseudo-aléatoire fournie en entrée d’un algorithme de chiffrement en plus de la clé. Il garantit qu’un texte en clair identique chiffré avec la même clé produit un texte chiffré différent d’une opération à l’autre.
Web Crypto API
La Web Crypto API est un standard du W3C qui fournit une interface JavaScript vers un ensemble de primitives cryptographiques — dont le chiffrement, le déchiffrement, la génération de clés, le hachage et la signature — implémentées nativement dans le navigateur.
Zero Trust
Le Zero Trust est une architecture de sécurité qui élimine la confiance implicite fondée sur l'emplacement réseau et exige à la place une vérification continue de l'identité, de l'état de l'appareil et de l'autorisation pour chaque demande d'accès à chaque ressource.