📊 SelfRecover — Comparatif sécurité

Trois approches de la récupération de compte, comparées côte à côte. Pour les agences d'État, opérateurs publics et services à fort enjeu.

Pourquoi cette comparaison ? La fuite massive subie par une grande agence d'État en avril 2026 (faille IDOR, ~12 millions de comptes exposés) a montré que la centralisation d'un système de comptes citoyens — combinée à une récupération par email — multiplie la surface d'attaque. SelfRecover propose deux paliers d'adoption progressive qui permettent à un opérateur public de durcir son authentification sans refonte totale.

Reset email classique FRAGILE

L'industrie standard depuis 20 ans. Email = preuve d'identité.

Flux

1. User clique "mdp oublié" 2. Site génère un token unique 3. Mail envoyé avec lien : site.fr/reset/{token} 4. User clique le lien 5. Site affiche form "nouveau pwd" 6. User saisit le pwd → reset

Postulat

Quiconque a accès à l'email du compte peut le récupérer.

→ Email volé / intercepté = compte volé. Pas de second facteur. Phishing facile.

SelfRecover Lite UPGRADE

Conserve SMTP + ajoute un mot mémorisé HMAC. Migration progressive.

Flux

1. User clique "mdp oublié" 2. Site génère token (email-link) + salt cryptographique (15min) 3. Mail envoyé avec lien 4. User clique le lien 5. Site demande nouveau pwd + MOT MÉMORISÉ 6. Browser calcule HMAC(salt, mot_mémorisé) 7. Serveur vérifie HMAC → reset OK

Postulat

Email seul ≠ accès. Il faut aussi le mot mémorisé (1 mot, ex: bob).

→ Email volé seul = INSUFFISANT. Phishing bloqué (HMAC dérivé du domaine). Compatibilité SMTP préservée.

SelfRecover Full CIBLE

Aucun email, aucun tiers. Split knowledge + diceware EFF.

Flux

1. User saisit username + passphrase diceware (4-7 mots EFF officiels) 2. Browser dérive HMAC anti-phishing 3. Serveur vérifie le hash Argon2id stocké 4. Reset effectué. 5. Niveaux L2/L3 progressifs pour récup avancée.

Postulat

Aucune dépendance externe. La récupération est cryptographique pure.

→ Zéro fournisseur SMTP. Zéro tiers. Cible idéale long terme.

🛡 Sécurité comparée par adversaire

Adversaire	Reset email classique	SelfRecover Lite	SelfRecover Full
Email intercepté seul	❌ Compte volé direct	✓ Bloqué (manque mot mémorisé)	✓ N/A (pas d'email)
Phishing (faux site)	❌ Token réutilisable	✓ Bloqué (HMAC dérivé du domaine)	✓ Bloqué (HMAC dérivé du domaine)
Fuite base de données	~ Tokens fuités utilisables temporairement	✓ Hashes Argon2id non réversibles	✓ Hashes Argon2id non réversibles
Fournisseur SMTP compromis	❌ Mass compromise possible	✓ SMTP seul ne suffit pas	✓ N/A (pas de SMTP)
Brute-force online	~ Variable selon implem	✓ Argon2id + rate-limit	✓ Argon2id + rate-limit + escalade L1/L2/L3
Mot mémorisé / passphrase deviné seul	✓ N/A	✓ Bloqué (manque mail-link)	✓ Bloqué (manque identifiant public + processus L1)
Compromission poste utilisateur (keylogger)	❌ Hors périmètre	❌ Hors périmètre	❌ Hors périmètre — recommandation Tails / Qubes / MySelf-Live
Coercition physique ($5 wrench)	❌	❌	❌ Hors périmètre (pas de plausible deniability)

🛠 Implémentation comparée

Critère	Classique	Lite	Full
Migration depuis l'existant	N/A (statu quo)	Incrémentale (additif)	Refonte modérée
Dépendance fournisseur SMTP	Oui	Oui (mais ne suffit plus)	Aucune
Lignes de code (back)	~50	~250	~600
Lignes de code (front)	~30	~100	~400
Friction utilisateur	Minimale (1 click email)	Faible (1 mot à retenir)	Modérée (passphrase 4+ mots)
Audit cryptographique	Variable	Simple (HMAC + Argon2id)	Documenté, AGPL
Conformité ANSSI / RGS	À évaluer cas par cas	Compatible (HMAC + Argon2id approuvés)	Compatible

📋 Stratégie d'adoption recommandée

Phase 1 — Coexistence : déployer SelfRecover Lite comme option additionnelle à côté du reset email classique. Le user qui l'active saisit son mot mémorisé à l'inscription. Ceux qui ne le font pas restent sur le mode classique.
Phase 2 — Migration progressive : à chaque connexion, proposer aux users existants d'activer le mot mémorisé. Mesurer l'adoption.
Phase 3 — Bascule majeure : rendre Lite obligatoire pour les nouveaux comptes et les opérations sensibles. Garder le mode classique en fallback dégradé.
Phase 4 — Mode Full optionnel : pour les usages les plus critiques (admin, comptes sensibles), proposer SelfRecover Full sans aucun email.

Tester maintenant

Les deux modes (Lite et Full) sont en démo interactive directement sur ce site. Aucune inscription préalable, données effacées à chaque rafraîchissement.

→ Tester SelfRecover Lite → Tester SelfRecover Full 📦 Code source (AGPL)

📞 Pour les opérateurs publics et agences d'État

SelfRecover est intégralement publié sous AGPL-3.0-or-later. Aucune licence commerciale n'est requise. Aucun NDA n'est demandé.

Si vous représentez une agence d'État, un opérateur public ou un service essentiel intéressé par une étude technique, audit cryptographique communautaire ou intégration pilote :

Le code complet est disponible sur github.com/Pierroons/my-self
Les whitepapers EN/FR sont dans le dépôt
L'auteur est joignable pour échange technique sans obligation contractuelle