Le protocole
PROTOCOL.md documente chaque fonction publique, chaque type canonique (Subject, Section, Asset) et chaque garantie cryptographique. La spécification est ouverte ; quiconque peut l’étudier et raisonner sur son poids probatoire.
L’implémentation est restreinte. Un vérificateur autonome open-source est prévu en Phase 2.
Dix angles de défense, plus un
Chaque couche répond à un angle d’attaque différent qu’une juridiction peut soulever contre un document numérique : le fichier a-t-il été modifié, a-t-il vraiment été créé à la date qu’il revendique, émane-t-il réellement de cette partie ? Empiler dix mécanismes indépendants — et les renforcer par une signature post-quantique — garantit qu’aucune hypothèse cassée à elle seule n’effondre la preuve.
Couche 01
Chaque action gravée, dans l’ordre
Chaque geste posé sur le dossier est inscrit dans un journal qu’aucune main ne peut effacer rétroactivement, avec acteur, date et adresse.
Journal d’audit immuable · entrées chaînées par hachage
Couche 02
Si une famille mathématique tombe, deux autres tiennent
Trois algorithmes différents, conçus indépendamment, calculent une empreinte du document. Pour la falsifier, il faudrait casser les trois simultanément.
SHA-256 · SHA-3-256 · BLAKE2b-512
Couche 03
Antidatage mathématiquement impossible
Chaque document scellé pointe vers le précédent dans le même contexte. Modifier une date casse toute la chaîne, immédiatement visible.
Chaînage cryptographique partitionné par (organisation, domaine)
Couche 04
Trois témoins indépendants attestent l’instant T
Trois autorités d’horodatage, séparées juridictionnellement, signent ensemble la date du document. Il faudrait contraindre les trois pour réécrire l’histoire.
RFC 3161 · FreeTSA · Sectigo · SafeCreative
Couche 05
Aucune pièce ajoutée, retirée ou réordonnée sans trace
Une racine unique engage toutes les pièces du dossier. Ajouter, retirer ou réordonner une seule photo déplace cette racine et casse la preuve.
Arbre de Merkle binaire
Couche 06
Ancré dans la blockchain la plus immuable au monde
L’empreinte du document est engagée dans la blockchain Bitcoin. Réécrire cet ancrage exigerait de réécrire des milliers de blocs à un coût économique prohibitif.
OpenTimestamps · Bitcoin
Couche 07
Signature serveur vérifiable hors ligne par tout tiers
Le certificat est signé côté serveur. Tout tiers — juge, expert, huissier — vérifie l’authenticité avec la clé publique publiée, sans nous solliciter.
Ed25519 · clé publique publiée
Couche 08
Le serveur ne peut pas substituer un fichier en transit
Chaque photo est hachée dans le navigateur du témoin avant envoi. Le serveur recalcule à réception : toute substitution silencieuse est détectée.
SHA-256 · Web Crypto API navigateur
Couche 09
Provenance signée par le capteur — anti-IA, anti-deepfake
Lorsque le capteur le permet, des métadonnées signées par le capteur accompagnent l’image. Une photo générée par IA en sera dépourvue.
C2PA Content Credentials · iPhone 15+, Adobe, Sony Alpha
Couche 10
Le certificat survit même si nous disparaissons
Le document signé est épinglé sur un réseau décentralisé. Sa survie ne dépend d’aucun serveur unique, y compris le nôtre.
IPFS · épinglage adressé par contenu
Couche +1
Résistant aux ordinateurs quantiques de demain
Une seconde signature, conçue pour résister aux futurs ordinateurs quantiques, complète la première. Un faussaire devrait attaquer simultanément les deux algorithmes.
ML-DSA-65 / Dilithium-3 · standard NIST FIPS 204
Spécification et vérification
La spécification du protocole est ouverte : PROTOCOL.md documente chaque fonction publique, chaque type canonique, chaque garantie cryptographique et le modèle de menace qui justifie chaque couche. Quiconque peut lire la spécification, étudier la conception en couches et raisonner sur son poids probatoire.
L’implémentation est aujourd’hui restreinte. Un vérificateur autonome open-source — capable de reproduire chaque contrôle sur un certificat scellé sans nos serveurs — est prévu sur la feuille de route (Phase 2). En attendant, la vérification s’opère sur la page publique de chaque sujet scellé et contre les clés publiques Ed25519 et ML-DSA-65 publiées.