Menu

Aucun menu défini dans le customizer.

Actus AutomatiséesActus TechChiffrementchiffrement AESdéfense de la vie privéeSciencesvie-privee-anonymatvie-privee-anonymat/chiffrement

ITYLOS – Quand vos messages s’autodétruisent après lecture

Krigs's avatar Par Krigs
1 0

Actualités Automatisées

ITYLOS – Quand vos messages s’autodétruisent après lecture

🕒 Publié le : 03/03/2026 à 15:15
 |  ✍️ Auteur : Korben
 |  📚 Source : Les news de Korben

Envoyer un mot de passe par email en clair, on l’a tous fait au moins une fois dans notre vie (oui, oui vous aussi !!). C’est pourquoi
ITYLOS
propose une alternative radicale où vos messages s’autodétruisent après lecture afin que personne, pas même le serveur, ne puisse les lire.

Vous écrivez votre message sur itylos.com, vous choisissez une durée de vie (1h, 24h ou 7 jours), et youpla, vous récupérez un lien unique à envoyer. Et ensuite, une fois lu, le message est détruit ! Tout ça, sans compte à créer, sans app à installer… Vous ouvrez juste le site, vous collez votre texte et c’est parti.

Côté technique, c’est du lourd puisque le chiffrement se fait ENTIÈREMENT dans votre navigateur avec de l’AES-256-GCM, et la dérivation de clé passe par Argon2ID. Du coup, le serveur ne voit jamais votre message en clair… il ne fait que stocker un blob chiffré qu’il est incapable de déchiffrer. C’est du vrai zero-knowledge, mais ça reste bien sûr une webapp, donc si votre navigateur ne supporte pas la Web Crypto API (genre un vieux Firefox ESR), ça ne marchera pas.

Et le truc qui va plaire aux plus paranos d’entre vous, c’est le traffic padding où chaque requête est gonflée à 15 Ko de bruit aléatoire pour rendre l’analyse de taille de vos messages bien plus compliquée côté réseau. Oui, c’est un vrai vecteur d’attaque et oui, ils y ont pensé. D’ailleurs, les données ne touchent pas le disque selon eux puisque tout transite en RAM, ne laissant ainsi aucune trace. Bon, sauf si vous faites un copier-coller du message dans un fichier texte, là c’est de votre faute.

Le service tourne sur une infrastructure souveraine à Genève, en Suisse. Pas sur un VPS chez AWS ou Google Cloud, hein… et y’a aussi un warrant canary PGP, signé et mis à jour chaque mois. Comme ça, si le canari disparaît, vous saurez que quelqu’un est venu taper à la porte.

Et côté conformité, ITYLOS délivre même des certificats de destruction au format JSON (oui oui, un vrai fichier .json), dans l’esprit de
l’article 17 du RGPD
. Perso, c’est la première fois que je vois une messagerie éphémère aller aussi loin dans la traçabilité de l’effacement, donc chapeau !

L’histoire derrière Itylos est cool aussi d’ailleurs. Tout est parti quand le créateur a récupéré un disque dur d’occasion et s’est retrouvé avec la vie entière de l’ancien proprio dessus… photos, documents, tout le bazar. Ça l’a décidé à créer un outil où les données n’existent tout simplement pas assez longtemps pour fuiter.

Et en plus c’est gratuit, open source (le code est sur
GitHub
sous licence MIT), et si vous êtes du genre à chiffrer vos échanges (un peu comme les utilisateurs de
Kloak
), ça vaut le coup d’œil !

Merci à Mehdi pour la découverte !

Krigs's avatar

À propos de l'auteur

https://github.com/Krigsexe

Voir tous les articles de Krigs

Articles similaires

Leave a Comment

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Gravatar profile