Sécurité
Comment nous protégeons les apps, et comment nous signaler une faille.
Mesures techniques
- Signature des APK : v1 + v2 + v3, clé RSA 4096 bits, keystore dédié hors dépôt.
- Build release durci : R8 + minification activés, debuggable=false, allowBackup=false.
- Network Security Config : cleartext désactivé, HTTPS exigé pour toute communication réseau.
- Pass Tech : PBKDF2-HMAC-SHA256 600 000 itérations (OWASP 2023), AES-256-CBC + HMAC-SHA256 (encrypt-then-MAC), biométrie liée au matériel via Android Keystore + BiometricPrompt CryptoObject, détection root/émulateur (RASP), clipboard marqué sensitive.
- Mises à jour vérifiables : chaque release publie le SHA-256 des APK dans les notes GitHub.
- Aucun serveur Files Tech : pas de backend = pas de fuite côté serveur possible.
Audits
Les trois apps ont fait l'objet d'un audit mobile complet (Code Audit + OWASP MASVS + Pentest) :
- Pass Tech — score ~99/100
- PDF Tech — score ~92/100
- Read Files Tech — score ~92/100
Signaler une vulnérabilité
Si vous découvrez une faille, merci de ne pas la divulguer publiquement avant que nous puissions la corriger.
- Email : contact@files-tech.com — sujet « Sécurité »
- Ou via le formulaire de contact en sélectionnant « Faille de sécurité »
Nous nous engageons à accuser réception sous 72 heures et à publier un correctif dans un délai raisonnable. Vous serez crédité dans les notes de release si vous le souhaitez.
Hash de vérification
Avant d'installer un APK, vérifiez que son SHA-256 correspond à celui publié dans la page de téléchargement ou les notes de release GitHub :
sha256sum app-arm64-v8a-release.apk