Sécurisé par conception

Status se veut un outil de communication véritablement décentralisé - éliminant éventuellement toutes les tierces parties et minimisant les vecteurs d'attaque pour les acteurs malveillants.

Le véritable avantage de Web3 est la capacité de traiter et de communiquer selon nos propres conditions - sans intermédiaire. Pour pouvoir profiter de ce type de communication gratuite, nous devons être sûrs que nos messages, transactions, identités et fonds sont protégés. En savoir plus sur l'approche de la sécurité de Status 'ci-dessous.

La sécurité au sein de Status

Sécurisé
Messagerie

Les messages ne sont pas censurés, bloqués et restent anonymes si l'utilisateur le souhaite. Seuls les destinataires prévus peuvent afficher les messages et aucune métadonnée n'est divulguée.

Sécurité financière
Transactions

L'envoi, le stockage et la réception de crypto-devises ou de jetons dans le portefeuille d'état sont protégés des attaques. Les clés privées ne sont jamais exposées. Les transactions ne sont traitées que lorsqu'elles sont initiées et confirmées par le propriétaire des clés privées.

Sécurisé
navigation

Lors de la navigation sur Web3, les données des utilisateurs finaux et les informations de navigation ne sont accessibles à aucun tiers sans leur consentement. Toutes les transactions effectuées à l'aide du navigateur Status implémentent les mêmes normes de sécurité et les meilleures pratiques que celles utilisées dans le portefeuille Statut.

Identité sécurisée

Votre identité dans Status commence par une paire de clés cryptographique générée localement, qui est ensuite protégée par un mot de passe. C'est tout ce qui est requis. L'utilisateur a ensuite la possibilité d'ajouter des informations à son profil pour définir son statut. En tout temps, l'utilisateur contrôle totalement ses informations et les personnes qui y ont accès. L'utilisateur final peut être aussi public ou privé si il le souhaite.

Messagerie sans serveur peer-to-Peer

Status utilise le protocole Whisper pour les communications entre homologues (p2p), ce qui signifie qu'aucun serveur ne traite ni ne stocke vos messages. Whisper s'appuie plutôt sur un réseau de pairs pour acheminer des messages les uns aux autres. Chaque message envoyé est diffusé sur l’ensemble du réseau et crypté pour que seul le destinataire puisse s’ouvrir. L’effet de chaque flot de messages sur le réseau est appelé routage invisible et protège non seulement le contenu de vos messages, mais également les métadonnées sur l’emplacement avec lequel vous communiquez, avec qui, etc. Il s’agit du plus haut standard de sécurité et de confidentialité dans la messagerie en ligne. , et l’équipe Status recherche des moyens plus évolutifs et plus efficaces de mettre en œuvre cette norme.

En savoir plus sur Whisper

Chiffrement de bout en bout par Défaut

Tous les messages privés envoyés via Whisper sont cryptés de bout en bout par défaut. Lorsque vous créez un compte Status, une paire de clés cryptographique est générée pour chiffrer vos messages et stockée localement sur votre appareil. Lorsque vous ajoutez un nouveau contact dans Status, vous échangez des clés publiques afin que cette personne puisse déchiffrer vos messages lors de leur réception sur le réseau.

Perfect Forward Secrecy

PFS est une caractéristique de protocoles d’accord de clé spécifiques, qui garantit que vos clés de session ne seront pas compromises, même si les clés privées des participants le sont. Plus précisément, les messages passés ne peuvent pas être déchiffrés par un tiers qui parvient à obtenir une clé privée. Il s'appuie sur les spécifications X3DH et Double Ratchet d'Open Whisper Systems, avec quelques adaptations pour fonctionner dans un environnement décentralisé. Perfect Forward Secrecy est une couche de sécurité supplémentaire pour toutes vos discussions privées 1: 1.

En savoir plus sur PFS

Création de compte sans serveur

Lorsque vous créez un nouveau compte sur Status, on ne vous demandera jamais de vérification par un tiers, comme un courriel ou un numéro de téléphone. Cela signifie que vous pouvez vous inscrire et créer un compte Status de manière totalement anonyme. Lorsque vous créez un compte, c'est tout simplement vous et vos clés. Cela signifie également que deux facteurs d'authentification et de récupération de mot de passe ne sont pas des fonctionnalités dans Status - alors assurez-vous de vous souvenir de votre mot de passe et phrase mnémonique et les stocker hors ligne quelque part extrêmement sûr.

Comment sont mes clés stockées?

Status n'utilisera jamais de services tiers pour gérer et stocker vos clés publique et privée. Une fois générée, la première clé BIP44 est enregistrée dans un fichier de stockage de clés json localement sur votre appareil. Ce fichier est crypté avec le mot de passe que vous avez choisi pour votre compte Status et n'est accessible que par l'application Status. Nous accordons la priorité au stockage des informations sensibles sur du matériel sécurisé lorsque celui-ci est disponible sur votre appareil.

Pour une couche supplémentaire de sécurité, nous avons introduit une Carte d'accès qui sert de stockage à froid hors ligne pour la gestion des clés privées et leurs opérations.

Pour plus d'informations sur Keycard, visitez keycard.status.im.

Navigation sécurisée

Le navigateur Status est conçu pour garder l'utilisateur final informé et leurs fonds en toute sécurité. Le mode de confidentialité du navigateur est activé par défaut. Cela signifie que DApps sera tenu de demander la permission avant de se connecter à votre portefeuille, et il peut causer certains DApps à ne pas fonctionner (si elles ne sont pas compatibles avec cette mesure de sécurité). Enfin, le navigateur Status met en œuvre EIP712 qui vise à améliorer la convivialité de la signature de messages hors chaîne pour une utilisation en chaîne. Nous assistons à l'adoption croissante de la signature de messages hors chaîne car elle permet d'économiser du gaz et de réduire le nombre de transactions sur la blockchain. Les messages actuellement signés sont une chaîne hexagonale opaque affichée à l'utilisateur avec peu de contexte sur les éléments qui composent le message.

En savoir plus sur les EIP

Comment Status protège-t-il ma crypto-monnaie ?

Status est construit avec un portefeuille non-dépositaire, vous permettant de contrôler entièrement vos fonds sans utiliser de serveur. Les clés privées sont stockées de manière cryptée sur votre appareil. Votre argent est sous votre contrôle et personne ne peut y accéder sans la clé privée. Par conséquent, si vous perdez votre phrase mnémonique, vous ne pourrez jamais restaurer l'accès à vos fonds. Alors gardez vos clés privées quelque part hors ligne en toute sécurité.

Signature de phrase pour se protéger contre les attaques de phishing

Status implémente une phrase de signature requise pour confirmer et «signer» toutes les transactions. La phrase de signature est une phrase de 3 mots générée aléatoirement pour vous et stockée localement sur votre appareil. Elle est présentée chaque fois que vous essayez d'envoyer une transaction. Votre phrase de signature vous sera présentée et devra l'accepter avant qu'une transaction ne soit confirmée. Si vous ne reconnaissez pas vos trois mots ou si vous ne les présentez pas du tout, annulez la transaction, déconnectez-vous de Status et signalez le problème à [email protected]

Audit rigoureux

Alors que nous atteignons des jalons importants dans le développement, après des séries d’examens internes et d’audits, nous nous adressons à des cabinets d’audit tiers leaders du secteur pour vérifier notre intégrité et un double / triple contrôle de notre travail. Ces audits de sécurité ne constituent pas des garanties de sécurité dans les projets auxquels ils se rapportent. Ce sont des vérifications supplémentaires de tiers objectifs visant à renforcer la confiance dans la sécurité des fonctionnalités souhaitées.

Si vous trouvez un bogue ou une vulnérabilité dans notre code, veuillez le signaler à [email protected].

Éduquez-vous pour rester en sécurité

Les produits décentralisés sans serveur, tels que Status, suppriment un certain nombre d'intermédiaires inutiles, vous permettant de discuter, de traiter et de naviguer sans craindre la surveillance, la censure et les fuites de données. C'est parce que vous contrôlez vos données et votre propre sécurité numérique. Par conséquent, il est important que vous compreniez comment vous protéger. Apprenez-en plus sur les moyens de rester en sécurité avec ce Guide des meilleures pratiques de sécurité Status.

Voir le Guide des Meilleures Pratiques

Support de sécurité

Nous sommes là pour vous aider. Si vous avez des questions ou des préoccupations au sujet de la sécurité, envoyez un courriel à [email protected] ou communiquez avec nous par l'intermédiaire du canal public de sécurité Status #status-security.

Programme Bug Bounty

Si vous êtes un chercheur en sécurité ou un développeur et que vous souhaitez signaler un problème, veuillez communiquer avec [email protected] sur le Bug Bounty Program de Status. Nous avons également une campagne avec HackerOne, un bounty bug programme qui stimule les pirates à regarder les projets. Nous préparons activement notre campagne privée, et nous l'ouvrirons au public bientôt! Pour plus d'informations sur le Bug Bounty Programme, veuillez communiquer avec [email protected].

Protégez-Vous

Status est construit avec une technologie de pointe pour garantir la sécurité du produit. En matière de navigation sur Web3, vous avez le contrôle. Consultez notre liste des meilleures pratiques en matière de sécurité et prenez le contrôle.

Obtenir Status

Commencez à profiter de Status sur iOS, Android, MacOS, Windows et Linux.

Télécharger Apps