En bref
Gestio fonctionne sans compte et sans serveur. Le coffre est un fichier chiffré, stocké sur l'ordinateur de l'utilisateur. L'éditeur ne peut pas y accéder.
Aucun profil, aucun identifiant publicitaire, aucune statistique d'usage. L'application n'émet que deux requêtes réseau, décrites ci-dessous, et les deux peuvent être évitées.
Le code source est public : ces affirmations sont vérifiables.
L'application
Chiffré sur l'appareil, déverrouillé par le mot de passe maître. Ce mot de passe n'est stocké nulle part et reste inconnu de l'éditeur. En cas d'oubli, et sans clé de récupération, l'accès aux données est définitivement perdu. C'est la contrepartie de l'absence de serveur.
Déclenchée uniquement par l'utilisateur. Le mot de passe ne quitte pas l'appareil : seuls les cinq premiers caractères de son empreinte SHA-1 sont transmis au service Have I Been Pwned. Celui-ci renvoie toutes les empreintes connues commençant de la même façon, et la comparaison a lieu sur l'appareil. Un remplissage de la réponse est demandé pour que sa taille ne révèle rien. Le service ne peut donc identifier ni le mot de passe testé, ni le résultat. Comme toute requête web, elle expose l'adresse IP de l'utilisateur au service contacté.
Activées par défaut, désactivables dans les réglages. Gestio télécharge un fichier statique sur rovrix.tech pour comparer les numéros de version. Cette requête ne transporte aucune information sur l'utilisateur ni sur le coffre. La mise à jour est vérifiée par signature avant installation. L'hébergeur en conserve une trace technique, comme pour toute visite de site. Ces vérifications sont par ailleurs comptées par jour, sans adresse IP : seul un compteur subsiste. Il mesure des lancements, jamais des personnes, et ne permet ni de suivre ni de distinguer un utilisateur.
Désactivée par défaut. Une fois activée, les données sont chiffrées de bout en bout avant d'être écrites dans un dossier choisi par l'utilisateur (Dropbox, Syncthing, disque réseau). L'éditeur ne fournit aucun serveur. Le service qui héberge ce dossier ne voit que des fichiers chiffrés. Les appairages de navigateur restent locaux et ne sont jamais synchronisés.
L'extension navigateur
L'extension n'émet aucune requête réseau. Elle communique uniquement avec l'application installée sur le même ordinateur, par le canal de messagerie native du navigateur.
Quatre valeurs, dans le stockage local du navigateur : un identifiant d'appairage, le secret correspondant qui prouve à l'application que l'extension est bien celle autorisée, et deux préférences (remplissage automatique, validation automatique). Aucun mot de passe n'est enregistré par l'extension.
À l'application uniquement : l'adresse de la page en cours, pour rechercher les entrées correspondantes, puis, sur action de l'utilisateur, l'identifiant de l'entrée choisie afin d'en obtenir le mot de passe. Ces échanges ont lieu entre deux programmes du même ordinateur et ne transitent par aucun réseau.
Elle les demande à l'application au moment de l'usage, les inscrit dans le champ ou le presse-papiers, et ne les conserve pas. Le coffre reste dans l'application : l'extension n'en détient aucune copie, même chiffrée.
nativeMessaging pour dialoguer avec l'application. storage pour conserver l'appairage et les préférences. activeTab et scripting pour écrire dans les champs de la page affichée, sur action. clipboardWrite pour copier un mot de passe. L'accès aux sites est optionnel : il ne sert qu'au remplissage automatique et n'est demandé que si cette option est activée.
Le site
Les téléchargements sont comptés par jour, par pays, et selon qu'ils proviennent d'un navigateur ou d'un robot. La distinction repose sur l'en-tête d'identification envoyé par le client, qui n'est pas conservé : seule la catégorie l'est. Aucune adresse IP n'est enregistrée : le pays est déduit au passage, l'adresse est ensuite abandonnée, et seul un compteur subsiste. Ni cookie, ni traceur, ni régie publicitaire, ni outil de mesure tiers.
Comme tout site, celui-ci est servi par un hébergeur (OVH) qui conserve des journaux techniques standard.
Droits sur les données
Le RGPD ouvre un droit d'accès, de rectification et d'effacement sur les données personnelles. Aucune donnée personnelle n'étant détenue par l'éditeur, il n'y a rien à communiquer, à corriger ni à supprimer. Les données restent sur la machine de l'utilisateur, qui les supprime en supprimant son coffre.
Gestio est édité par Rovrix. Contact : pro.jerome.pira@gmail.com.