Tous les articles

10 min de lecture

Preuves de lanceur d'alerte : les horodater sans les publier

Un record Label 309 scellé peut horodater des preuves chiffrées et les remettre à un unique destinataire choisi — mais il ne vous rend pas anonyme et ne remplace pas un conseil juridique ou de sécurité. Voici ce qu'il fait, et ce qu'il ne fait pas.

Une preuve d'existence scellée peut préserver les preuves d'un lanceur d'alerte sans jamais publier les fichiers. L'expéditeur hache les preuves, les chiffre pour un unique destinataire choisi, puis publie un record Label 309 sur Cardano. Le record sur la chaîne ne porte que l'empreinte et les clés enveloppées — jamais le texte en clair, et jamais l'identité du destinataire. Plus tard, le destinataire déchiffre le fichier et confirme qu'il correspond à l'engagement horodaté.

Cela prouve que les preuves existaient à une date publique et qu'elles ont atteint un détenteur de clé précis. Cela ne rend pas l'expéditeur anonyme, ne le met pas à l'abri, ne confère aucune protection juridique et ne garantit pas qu'un élément sera admis en justice. Considérez un record scellé comme une couche de preuve et de chiffrement, non comme une stratégie de divulgation à part entière.

Quel problème cela résout-il concrètement ?

Une preuve est fragile. Un fichier peut être supprimé. Un document peut être modifié. Une capture d'écran peut être contestée. Un export de base de données peut être régénéré et antidaté. Un lanceur d'alerte a souvent besoin de démontrer qu'un fichier précis existait avant une divulgation, une plainte pour représailles, un audit ou un procès — et de le démontrer sans dépendre de la bonne volonté de l'organisation que les preuves concernent.

Dans le même temps, publier le fichier en clair peut être dangereux, illégal ou tout simplement déplacé. Cela peut exposer des tiers, des secrets commerciaux ou des dossiers médicaux.

Un record Label 309 scellé sépare la preuve du texte en clair. La chronologie peut être publique et permanente. Le contenu reste chiffré pour un seul destinataire. Vous obtenez l'horodatage sans payer le prix d'une divulgation.

Comment fonctionne la preuve scellée, étape par étape ?

Le déroulé est le même que celui décrit dans hacher, signer, sceller, partager, appliqué à du matériel sensible :

  1. L'expéditeur prépare le fichier de preuves, ou un manifeste de pièces qui décrit de nombreux fichiers.
  2. Le logiciel calcule l'empreinte du texte en clair.
  3. Le contenu est chiffré pour l'adresse de réception du destinataire — la clé de contenu est enveloppée vers la clé publique du destinataire dans une enveloppe scellée de style age.
  4. Le texte chiffré est stocké à un emplacement adressé par le contenu (ar:// ou ipfs://). Seul le texte chiffré y est stocké ; le texte en clair n'y figure jamais.
  5. Un record Label 309 est publié sur Cardano ; il porte l'empreinte et la clé enveloppée — pas le texte en clair, pas la clé publique du destinataire.
  6. Le destinataire récupère ensuite le texte chiffré et le déchiffre localement.
  7. Le destinataire recalcule l'empreinte du texte en clair et la compare au record.

Le record prouve quand l'engagement existait. Le fichier déchiffré prouve sur quoi portait l'engagement. Les deux moitiés sont nécessaires, et la seconde reste privée pour le détenteur de la clé.

Pourquoi ne pas simplement mettre les preuves directement sur la blockchain ?

Parce qu'une chaîne publique est permanente, et certaines preuves ne peuvent jamais être rendues publiques sans danger. Du matériel sensible peut contenir des données personnelles, des informations commerciales confidentielles, des détails médicaux, des secrets commerciaux, des identifiants, des vulnérabilités de sécurité, les noms de personnes non impliquées ou des contenus juridiquement restreints. Une fois cela inscrit dans un registre public, il est impossible de revenir en arrière.

Une preuve scellée permet à l'expéditeur de s'engager sur les octets exacts sans les exposer. Le destinataire reçoit et vérifie le contenu en privé, tandis que le reste du monde ne voit que la publication d'un record scellé quelconque à une certaine date de bloc. C'est le même schéma que celui décrit dans la divulgation confidentielle sans fichiers publics.

Qui doit être le destinataire — et comment joindre le bon ?

Choisissez le destinataire délibérément. Ce peut être un journaliste, un avocat, un régulateur, un service interne d'éthique, un auditeur, une organisation de la société civile ou un enquêteur de confiance. L'exigence incontournable est que l'expéditeur dispose d'une adresse de réception qui appartient réellement au destinataire prévu.

Une adresse de réception n'est qu'une chaîne de clé publique (elle ressemble à age1…). En elle-même, elle ne prouve rien sur la personne qui la contrôle — Label 309 ne spécifie délibérément aucun annuaire ni registre de clés de confiance. C'est pourquoi, pour des preuves sensibles, l'expéditeur devrait confirmer l'adresse par un canal auquel les deux parties font déjà confiance, exactement comme le décrit vérifier un destinataire avant de sceller un fichier.

Une erreur ici a un coût réel : envoyez vers la mauvaise clé et les preuves seront illisibles pour la personne visée — ou lisibles par quelqu'un que vous ne visiez pas.

L'expéditeur doit-il signer le record ?

En général non, si l'objectif est d'éviter l'attribution.

Une signature au niveau du record lie le record à une clé publique. C'est utile lorsqu'une entreprise ou une personne nommée veut assumer la responsabilité. C'est risqué lorsque l'expéditeur a besoin d'éviter de relier la divulgation à une identité.

Les signatures d'auteur dans Label 309 sont toujours facultatives. Un record scellé non signé prouve toujours que l'engagement sur les preuves existait à une date publique — il ne formule simplement aucune revendication publique d'auteur, et sur la chaîne il ne lie aucune identité d'expéditeur. Le compromis est simple :

  • les records signés ajoutent de la responsabilité ;
  • les records non signés évitent une attribution publique, adossée à une clé.

Le bon choix dépend entièrement du contexte juridique et de sécurité, et c'est une décision à prendre avec un conseil juridique, pas à partir d'un article de blog.

Un record scellé rend-il l'expéditeur anonyme ?

Non. C'est la limitation la plus importante de toutes, alors autant être franc.

Un record Label 309 scellé et non signé maintient hors de la chaîne le texte en clair, l'identité du destinataire et toute signature de l'expéditeur, et le flux global des records est aveugle au destinataire — rien dans ce flux ne renvoie à qui peut déchiffrer. Mais l'anonymat dépend de bien plus que des octets d'un seul record. Tout ce qui se trouve en dehors du record peut encore exposer l'expéditeur :

  • les métadonnées réseau et les adresses IP ;
  • les empreintes de navigateur ou d'appareil ;
  • un appareil compromis ;
  • les traces de paiement ;
  • l'activité du compte sur le gateway ;
  • la corrélation temporelle entre les publications ;
  • les métadonnées de fichier, de document et d'appareil photo ;
  • le style d'écriture ;
  • les erreurs opérationnelles ;
  • le canal utilisé pour communiquer avec le destinataire.

La cryptographie ne peut rien contre cela. Ces éléments relèvent d'outils dédiés à la protection des sources, de la sécurité opérationnelle et du conseil juridique. Ne traitez pas une preuve d'existence scellée comme un système d'anonymat — traitez-la comme un moyen d'horodater et de chiffrer, et associez-la aux bons outils pour tout le reste.

Que peut vérifier le destinataire une fois qu'il a le fichier ?

Un destinataire qui possède la clé privée correspondante peut contrôler toute la chaîne de revendications :

  • que le record Label 309 existe sur Cardano ;
  • la date de bloc et le contexte de confirmation de ce record ;
  • que sa clé ouvre l'un des emplacements de l'enveloppe, ce qui récupère la clé de contenu ;
  • que l'empreinte recalculée du texte en clair correspond à l'empreinte engagée sur la chaîne ;
  • une preuve d'inclusion Merkle, si les preuves constituaient une feuille dans un lot plus large ;
  • une signature de record, si l'expéditeur a choisi de signer.

Toute personne sans clé correspondante — y compris un vérificateur public — peut tout de même confirmer que le record existe, que son enveloppe est bien formée et que l'URI du texte chiffré est accessible. Ce qu'elle ne peut pas faire, c'est le déchiffrer ou découvrir sur quoi il s'engage. Cette séparation est tout l'intérêt : la chaîne témoigne d'un engagement, et seul le détenteur de la clé confirme sur quoi il porte.

Que ne prouve pas une preuve scellée ?

Un horodatage est volontairement étroit. Un record scellé ne prouve pas :

  • que les preuves sont véridiques ;
  • que l'expéditeur est protégé par le droit des lanceurs d'alerte ;
  • que la divulgation est légale ;
  • que le destinataire est digne de confiance, ou qu'il gardera le texte en clair confidentiel ;
  • que le fichier a été obtenu de manière licite ;
  • que l'expéditeur est anonyme.

Et une fois que le destinataire déchiffre le contenu, rien ne l'empêche de le partager — le chiffrement protège le fichier en transit et au repos, pas la discrétion du destinataire par la suite.

Ce qu'un record scellé prouve bien est précis et utile : un engagement horodaté sur des octets spécifiques, remis à un détenteur de clé précis. Il ne remplace pas un conseil juridique, les pratiques journalistiques de protection des sources, des outils de communication sécurisés ou un plan de sécurité. Pour en savoir plus sur cette limite, voir ce qu'une preuve ne prouve pas.

Pourquoi sceller un manifeste plutôt qu'une archive unique ?

Les preuves se présentent généralement sous forme d'un lot, pas d'un seul fichier bien rangé. Plutôt que de sceller une archive opaque, l'expéditeur peut construire un manifeste de pièces qui consigne :

  • les noms de fichiers ou des identifiants neutres ;
  • les empreintes par fichier ;
  • la date de collecte ;
  • des notes sur la source et la chaîne de possession ;
  • l'état des caviardages ;
  • les informations sur le destinataire ;
  • les feuilles Merkle et les preuves d'inclusion.

Les entrées sensibles peuvent elles-mêmes être chiffrées. Le manifeste aide le destinataire à comprendre ce qui a été divulgué et à vérifier les fichiers individuellement par la suite. Pour de grands ensembles, une seule racine de Merkle engage tout le lot tout en permettant de vérifier chaque fichier isolément — l'approche présentée dans un seul record pour des milliers de fichiers.

Comment une organisation doit-elle se préparer à recevoir des divulgations scellées ?

Les organisations devraient faire le travail de fond avant d'inviter des personnes à envoyer des preuves sensibles. Cela signifie publier les adresses de réception avec soin, les renouveler ou les retirer au besoin, vérifier la propriété des adresses de bout en bout, protéger les graines des destinataires qui permettent de déchiffrer, définir clairement qui est autorisé à déchiffrer et documenter la façon dont les preuves scellées sont traitées.

Elles devraient aussi être honnêtes avec les sources quant aux limites. Une adresse de réception n'est pas un système de dépôt sécurisé complet ; c'est une composante d'un processus de réception. Une organisation qui veut prendre en charge des divulgations véritablement à haut risque a besoin de procédures juridiques, de sécurité et opérationnelles enveloppant la cryptographie — pas de la cryptographie seule.

En quoi cela aide-t-il plus tard, dans un litige ?

Cela établit la chronologie des preuves. Si une question se pose plus tard, le destinataire pourra peut-être montrer :

  • la référence de la transaction Cardano ;
  • le record Label 309 et sa date de bloc ;
  • la charge utile chiffrée ;
  • les preuves déchiffrées ;
  • l'empreinte du texte en clair correspondante ;
  • la preuve d'inclusion Merkle, pour un fichier inclus dans un lot ;
  • le fait que l'engagement existait avant une date donnée.

Cela peut étayer une enquête, un signalement, un examen juridique ou un processus interne de responsabilité — et, parce que la vérification ne requiert que les métadonnées de la transaction, les octets et un explorateur Cardano public, elle ne dépend pas de la pérennité de CardanoWall. Ce sont des preuves d'existence et d'intégrité, non de savoir qui a raison. Le schéma apparenté pour les divulgations d'entreprise sensibles au temps est traité dans les chronologies d'incidents de sécurité, et le contexte judiciaire plus large dans preuves juridiques et e-discovery.

En résumé

Un record Label 309 scellé permet à un lanceur d'alerte et à un destinataire choisi de préserver des preuves en privé. Il horodate un engagement, chiffre les fichiers pour un seul destinataire, et permet ensuite à ce destinataire de prouver que les octets déchiffrés correspondent au record public.

Il ne garantit pas l'anonymat, la légalité, la sécurité ni la véracité, et un destinataire peut divulguer ce qu'il déchiffre. Utilisez-le comme une couche soigneuse au sein d'un processus de divulgation plus large et bien conseillé — jamais comme le plan tout entier.

Pour aller plus loin

sealed-poeevidenceprivacy