SÉCURITÉ

Confidentialité architecturale, pas une promesse de confidentialité.

La plupart des outils de fichiers en ligne promettent d'être privés. Vastiko ne peut pas être autrement : il n'y a pas d'étape de téléchargement, pas de stockage côté serveur, pas de pipeline de déchiffrement. Vérifiez vous-même en 30 secondes.

Dernière mise à jour : 2026-04-25 · Version 1.0

La vérification de 30 secondes

Ouvrez l'outil Edit PDF de Vastiko.
Ouvrez les DevTools de votre navigateur (F12 ou clic droit → Inspecter).
Passez à l'onglet Network. Cochez 'Preserve log'.
Déposez un PDF sur la zone de drop.
Observez le panneau Network. Il n'y a pas de POST upload, pas de PUT, pas de WebSocket portant votre fichier. Les seules requêtes sont des récupérations d'assets statiques (HTML, CSS, JS) et (si activé) des pings anonymes d'analyse.

Il en va de même pour chaque outil Vastiko. Vous pouvez vérifier vous-même la revendication de confidentialité — vous n'avez pas à nous croire sur parole.

Comment chaque outil reste local

Edit PDF

Le rendu et la manipulation PDF standards de l'industrie s'exécutent entièrement dans la mémoire du navigateur.

Compress PDF

Les pages sont re-rendues et re-compressées localement — pas de téléchargement, pas de traitement côté serveur.

Convert (PDF↔Image, PDF↔Word/Excel/PPT)

Les conversions de format sont effectuées dans le navigateur en utilisant des API modernes.

Cryptographie (prévue pour Unlock PDF / Protect PDF)

Les opérations protégées par mot de passe sont sur notre feuille de route. Lorsqu'elles seront livrées, elles utiliseront :

Web Crypto API (intégrée dans Chrome, Safari, Firefox, Edge) pour AES-256, AES-128, RC4-128 et RC4-40 — couvrant la spécification complète du gestionnaire de sécurité PDF.
Modules WebAssembly pour analyser le gestionnaire de sécurité PDF, exécutés dans le sandbox du navigateur.
Pas de transmission au serveur : le mot de passe ne nous est jamais envoyé. Il existe en mémoire du navigateur uniquement pendant la durée de l'opération, puis est écrasé.

Statut : les outils Unlock PDF et Protect PDF sont actuellement en design. Jusqu'à leur livraison, notre surface cryptographique est limitée à la terminaison TLS chez le fournisseur d'hébergement — il n'y a pas de cryptographie au niveau de l'application à auditer.

Ce que les attaquants ne peuvent pas faire

Comme les données de fichiers n'atteignent jamais nos serveurs :

Une violation de notre fournisseur d'hébergement ne peut pas exposer vos fichiers. Il n'y a pas de stockage de fichiers à violer.
Une assignation à comparaître ne peut pas nous contraindre à remettre vos fichiers. Nous ne les avons pas et ne les avons jamais eus.
Un acteur malveillant ne peut pas exfiltrer du contenu utilisateur de chez nous. Les données sont sur votre machine, pas sur la nôtre.

Obfuscation du code et transparence

Le bundle JavaScript est minifié et obfusqué. C'est un choix délibéré pour protéger la propriété intellectuelle de Vastiko — pour rendre plus difficile aux clones de copier notre travail — et cela ne compromet pas la garantie de confidentialité. La confidentialité est vérifiable depuis le comportement à l'exécution, pas depuis le code source : ouvrez DevTools → Network et confirmez qu'aucun téléchargement de fichier ne se produit. L'architecture (tout dans votre navigateur) est ce qui rend Vastiko privé ; l'obfuscation ne fait que protéger ce que nous avons construit.

Si vous repérez un problème de sécurité ou un comportement qui contredit ces affirmations, signalez-le à info [arobase] vastiko [point] com. Nous traitons ces rapports en priorité.

Infrastructure d'hébergement

Le site est livré comme HTML, CSS et JavaScript statiques depuis un serveur web hébergé dans le cloud. Il n'y a pas de backend d'application, pas de base de données utilisateurs et pas de pipeline de traitement de fichiers côté serveur. La garantie de confidentialité vient de l'architecture, pas d'un fournisseur ou d'une région spécifique — vos fichiers n'atteindraient pas nos serveurs quel que soit l'emplacement de ces serveurs.

Signaler des vulnérabilités

Nous sommes une petite équipe et n'avons pas encore de programme bug bounty formel, mais nous apprécions la divulgation responsable. Envoyez un e-mail à info [arobase] vastiko [point] com avec les étapes de reproduction. Nous visons à accuser réception sous 48 heures et à vous créditer publiquement si vous le souhaitez.

Périmètre de conformité

Comme nous ne traitons pas de données personnelles liées à des utilisateurs identifiables sur le serveur, notre exposition au RGPD et au CCPA est minimale — mais les garanties de confidentialité que nous offrons sont plus fortes que ce que la conformité exige. Voir la politique de confidentialité pour les détails.