Icône Pass Tech

Pass Tech v2.2.0

Coffre-fort de mots de passe 100 % local. Vos secrets ne quittent jamais votre téléphone.

🛡️ Audit sécurité — mai 2026
Télécharger Voir le code Soutenir

Pourquoi Pass Tech

Un gestionnaire de mots de passe sans cloud, sans compte, sans serveur — vraiment.

🔒

AES-256-GCM (AEAD)

NIST SP 800-38D, nonce 96 bits aléatoire, AAD anti-downgrade. Remplace AES-CBC + HMAC.

🔑

Argon2id

RFC 9106, paramètres OWASP 2024 (m = 19 MiB, t = 2). Résistant GPU/ASIC. Remplace PBKDF2.

🛡️

Clé liée au matériel

KEK AndroidKeyStore non-extractible (StrongBox best-effort). Sans le téléphone, le coffre est inutilisable.

👆

Biométrie matérielle

Clé liée au Keystore Android, déverrouillage Face/Empreinte.

🛡️

Anti-brute-force

Verrouillage progressif 5 fails (30s → 30min).

📵

Captures bloquées

FLAG_SECURE actif, pas d'aperçu dans Recents.

⏱️

Auto-lock

Verrouillage configurable + wipe RAM de la clé.

📋

Clipboard sécurisé

Effacement auto + flag IS_SENSITIVE (Android 13+).

🔍

HIBP k-anonymity

Vérif fuites optionnelle, 5 chars SHA-1 seulement envoyés.

📦

3 types d'entrées

Mots de passe + TOTP 2FA + cartes bancaires + notes.

🛡️

Coffre leurre

Un 2e mot de passe ouvre un faux coffre. Déni plausible cryptographique anti-coercition.

🚨

Mode panique

Verrouillage + clipboard wipe + camouflage de l'icône en « Calculatrice » sur le launcher.

🇫🇷

Phrase de passe FR

Diceware en français : renard-cloche-violet-soleil-7. Mémorable, autant de sécurité.

👨‍👩‍👧

Héritage

Un proche accède au coffre après une période d'inactivité prolongée. Testament numérique 100 % local.

🎯

Anti-phishing par domaine

Vérifie le domaine du navigateur avant copie. Alerte sur typosquatting et faux sites.

Confidentialité radicale

Pass Tech va au-delà des gestionnaires classiques avec quatre protections inédites.

Coffre leurre — déni plausible cryptographique

Configurez un 2e mot de passe qui ouvre un faux coffre rempli d'entrées factices crédibles. Si quelqu'un vous force à ouvrir l'app (frontière, contrôle, vol, agression), vous donnez le mot de passe leurre. L'app affiche un coffre alternatif — il est cryptographiquement impossible de prouver l'existence du vrai :

  • Deux fichiers chiffrés indistinguables, deux salts distincts dans le secure storage
  • Timing constant à l'unlock (toujours 2× Argon2id m = 19 MiB, t = 2) — aucun side-channel ne révèle si un coffre leurre est configuré
  • 2 alias Keystore (pt_vault_kek_v1 + pt_vault_kek_decoy_v1) créés systématiquement dès l'installation — l'inspection du Keystore ne révèle pas l'usage du leurre
  • Biométrique volontairement scope-locked au coffre principal pour ne pas trahir le dual-vault

Mode panique — trois protections en un tap

  • Verrouillage immédiat du coffre (clé wipée de la RAM)
  • Vidage du presse-papiers
  • Camouflage de l'icône Pass Tech en « Calculatrice » sur le launcher (réversible depuis Réglages)

Héritage — testament numérique 100 % local

Configurez un mot de passe distinct pour un proche (conjoint, enfant, exécuteur testamentaire). Si vous n'utilisez pas l'app pendant N jours (90 par défaut, 30 à 365 configurable) + 7 jours de grâce, l'option « Accès héritier » apparaît sur l'écran de déverrouillage.

  • Snapshot chiffré séparé (pt_heir.enc) — AES-256-CBC + HMAC-SHA256, PBKDF2 600 000 itérations
  • Si vous vous reconnectez pendant la grâce, le compteur est réinitialisé
  • Le mot de passe héritier n'est jamais stocké et ne peut pas être récupéré — vous le communiquez à votre héritier de manière sûre (oralement, testament, coffre bancaire)
  • Aucun cloud, aucun tiers de confiance, contrairement aux fonctions « Emergency Access » des concurrents qui passent par leurs serveurs

Anti-phishing par domaine — vérification avant copie

Avant de copier un mot de passe ou un code 2FA, Pass Tech vérifie que le navigateur frontal affiche bien le domaine de l'entrée. Si un site malveillant tente de vous piéger (typosquatting type paypaI.com, faux site paypal-secure.evil.com), une alerte s'affiche avec les domaines comparés.

  • 9 navigateurs supportés : Chrome, Firefox, Brave, Edge, Opera, Vivaldi, Samsung Internet, DuckDuckGo, Fenix
  • Détection typosquatting par distance de Levenshtein (seuil ≤ 2)
  • Sous-domaines légitimes acceptés (login.example.comexample.com)
  • Service d'accessibilité Android dédié, restriction stricte aux navigateurs déclarés — aucune autre app n'est lue
  • Domaine racine uniquement, mémoire volatile, fenêtre de fraîcheur 15 s (au-delà : verdict unknown fail-safe), aucun log persistant, aucune sortie réseau
  • Désactivable à tout moment depuis les Réglages Android

Code source ouvert

Pour un gestionnaire de mots de passe, l'audit indépendant du code est indispensable. Pass Tech est publié sous licence Apache 2.0 — vous pouvez lire, vérifier et compiler vous-même.

Options de téléchargement Dépôt GitHub