Une preuve cryptographique opposable, en dix couches.
Fortress Protocol scelle l’état d’un sujet — à un instant précis — derrière dix couches cryptographiques indépendantes et une signature post-quantique additive. Générique par conception, opposable par construction.
Qu’est-ce que Fortress
Fortress Protocol est une infrastructure cryptographique générique permettant de produire un enregistrement opposable de l’état d’un sujet à un instant donné. Il hache, horodate, ancre, signe, épingle et archive — et ne connaît rien du métier qu’il documente. Un état des lieux, un constat d’huissier, un inventaire de sinistre, une remise de véhicule, un jalon de chantier ou un rapport de condition d’œuvre d’art empruntent tous le même protocole, qui ne se distingue que par les valeurs portées par leurs champs.
L’architecture comprend dix couches indépendantes, complétées par une signature post-quantique additive. Falsifier un seul octet d’un certificat scellé brise au moins une couche — un attaquant doit attaquer toutes les couches pour présenter un faux crédible. Chaque couche est vérifiable indépendamment, sans notre coopération.
Dix angles de défense, plus un
Chaque couche répond à un angle d’attaque différent qu’une juridiction peut soulever contre un document numérique : le fichier a-t-il été modifié, a-t-il vraiment été créé à la date qu’il revendique, émane-t-il réellement de cette partie ? Empiler dix mécanismes indépendants — et les renforcer par une signature post-quantique — garantit qu’aucune hypothèse cassée à elle seule n’effondre la preuve.
Couche 01
Chaque action gravée, dans l’ordre
Chaque geste posé sur le dossier est inscrit dans un journal qu’aucune main ne peut effacer rétroactivement, avec acteur, date et adresse.
Journal d’audit immuable · entrées chaînées par hachage
Couche 02
Si une famille mathématique tombe, deux autres tiennent
Trois algorithmes différents, conçus indépendamment, calculent une empreinte du document. Pour la falsifier, il faudrait casser les trois simultanément.
SHA-256 · SHA-3-256 · BLAKE2b-512
Couche 03
Antidatage mathématiquement impossible
Chaque document scellé pointe vers le précédent dans le même contexte. Modifier une date casse toute la chaîne, immédiatement visible.
Chaînage cryptographique partitionné par (organisation, domaine)
Couche 04
Trois témoins indépendants attestent l’instant T
Trois autorités d’horodatage, séparées juridictionnellement, signent ensemble la date du document. Il faudrait contraindre les trois pour réécrire l’histoire.
RFC 3161 · FreeTSA · Sectigo · SafeCreative
Couche 05
Aucune pièce ajoutée, retirée ou réordonnée sans trace
Une racine unique engage toutes les pièces du dossier. Ajouter, retirer ou réordonner une seule photo déplace cette racine et casse la preuve.
Arbre de Merkle binaire
Couche 06
Ancré dans la blockchain la plus immuable au monde
L’empreinte du document est engagée dans la blockchain Bitcoin. Réécrire cet ancrage exigerait de réécrire des milliers de blocs à un coût économique prohibitif.
OpenTimestamps · Bitcoin
Couche 07
Signature serveur vérifiable hors ligne par tout tiers
Le certificat est signé côté serveur. Tout tiers — juge, expert, huissier — vérifie l’authenticité avec la clé publique publiée, sans nous solliciter.
Ed25519 · clé publique publiée
Couche 08
Le serveur ne peut pas substituer un fichier en transit
Chaque photo est hachée dans le navigateur du témoin avant envoi. Le serveur recalcule à réception : toute substitution silencieuse est détectée.
SHA-256 · Web Crypto API navigateur
Couche 09
Provenance signée par le capteur — anti-IA, anti-deepfake
Lorsque le capteur le permet, des métadonnées signées par le capteur accompagnent l’image. Une photo générée par IA en sera dépourvue.
C2PA Content Credentials · iPhone 15+, Adobe, Sony Alpha
Couche 10
Le certificat survit même si nous disparaissons
Le document signé est épinglé sur un réseau décentralisé. Sa survie ne dépend d’aucun serveur unique, y compris le nôtre.
IPFS · épinglage adressé par contenu
Couche +1
Résistant aux ordinateurs quantiques de demain
Une seconde signature, conçue pour résister aux futurs ordinateurs quantiques, complète la première. Un faussaire devrait attaquer simultanément les deux algorithmes.
ML-DSA-65 / Dilithium-3 · standard NIST FIPS 204
Vingt cas d’usage cibles, un seul protocole
Fortress est volontairement agnostique. Les types canoniques (Subject, Section, Asset) portent la sémantique métier dans leurs valeurs, jamais dans le code du protocole. États des lieux, constats d’huissier, inventaires de sinistre, remises de véhicule, suivi de chantier, provenance d’œuvres d’art, audits forensiques, traçabilité logistique, scènes médico-légales, registres publics et bien d’autres consomment la même infrastructure à dix couches.
Spécification et vérification
La spécification du protocole est ouverte : PROTOCOL.md documente chaque fonction publique, chaque type canonique, chaque garantie cryptographique et le modèle de menace qui justifie chaque couche. Quiconque peut lire la spécification, étudier la conception en couches et raisonner sur son poids probatoire.
L’implémentation est aujourd’hui restreinte. Un vérificateur autonome open-source — capable de reproduire chaque contrôle sur un certificat scellé sans nos serveurs — est prévu sur la feuille de route (Phase 2). En attendant, la vérification s’opère sur la page publique de chaque sujet scellé et contre les clés publiques Ed25519 et ML-DSA-65 publiées.
Base juridique
Fortress produit ce que le droit civil français appelle une preuve à valeur probante renforcée — un enregistrement à valeur probante renforcée qui reste soumis à l’appréciation souveraine du juge. Ce n’est pas un service de confiance qualifié au sens d’eIDAS ; la spécification décrit précisément comment un consommateur peut remplacer la couche d’horodatage par un prestataire qualifié si son contexte juridique l’exige.
Les primitives cryptographiques utilisées (SHA-2, SHA-3, BLAKE2, RFC 3161, OpenTimestamps, Ed25519, ML-DSA-65, IPFS) sont indépendantes de toute juridiction. Des cadres probatoires équivalents reconnaissent l’écrit électronique dans chacune des juridictions visées :
France
Code civil, articles 1366, 1367, 1731.
Royaume-Uni
Electronic Communications Act 2000, section 7.
États-Unis
ESIGN Act, 15 U.S.C. § 7001.
Allemagne
BGB § 126a.
Italie
Codice dell’Amministrazione Digitale.
Espagne
Ley 6/2020.
Pour aller plus loin
Lisez la spécification, étudiez le modèle de menace, puis discutons de la manière dont les couches répondent à votre problème probatoire.