Le gestionnaire de mots de passe qui
ne voit pas vos secrets.

Un seul coffre pour les mots de passe, les notes, les cartes, les codes 2FA et les fichiers — avec la synchronisation chiffrée, le journal d'audit et la crypto post-quantique déjà en place. Conçu par des ops pour les ops.

Voir les tarifs Voir les fonctionnalités

Web · iOS · Android · Extension navigateur · Hébergement Suisse · Traitement souverain

mots de passe lisibles par le serveur

ML-KEM-768

échange de clé hybride post-quantique

Ed25519

signature des changements (ML-DSA hybride en v1.5)

Un seul coffre. Tous les secrets de votre équipe.

Stop aux post-it, aux coffres 1Password partagés et au .env.shared dans Slack. ILYGO Secret garde chaque identifiant dans un seul magasin chiffré — et le serveur ne peut rien lire.

Des mots de passe qui ne fuient pas

Chaque élément est chiffré sur votre appareil avec XChaCha20-Poly1305 avant de toucher le réseau. Le serveur stocke des blobs ciphertext et rien d'autre — ni le titre, ni l'URL, ni même votre email en clair.

Notes, cartes, identités, fichiers

Même coffre, même chiffrement. Glissez un PDF de 100 Mo, collez une clé SSH privée, stockez la carte bancaire d'un client — tout vit sous la même RootKey enveloppée par votre mot de passe maître.

Générateur 2FA intégré

Les codes TOTP à côté du mot de passe qu'ils protègent. Pas de seconde app, pas de changement de contexte. Les codes sont dérivés localement — la graine ne quitte jamais l'appareil.

Coffres partagés et clés par groupe

Créez un coffre pour l'équipe dev, un autre pour la finance. Les changements de membres ré-enveloppent les clés côté client — révoquez un membre et la perte d'accès est cryptographiquement prouvable. Pas besoin de « faire confiance au serveur ».

Journal d'audit vérifiable

Chaque mutation est une entree signee dans un journal Merkle (Ed25519 cote serveur, signature hybride post-quantique ML-DSA prevue en v1.5). Telechargez la preuve, verifiez-la hors ligne avec notre CLI open-source. Le serveur ne peut pas reecrire l'historique a posteriori.

Récupération sans compromis

Perdu votre mot de passe maître ? Parts Shamir distribuées entre appareils de confiance, ou phrase BIP-39 dans votre coffre-fort. La récupération se fait côté client — le serveur ne garde que des fragments opaques.

Un aperçu

Tableau du coffre

Tout en un seul endroit — cherchez dans les mots de passe, notes et fichiers avec ⌘K.

Détail d'un élément

Historique versionné, pièces jointes, code 2FA, piste d'audit — pour chaque élément.

Equipe et groupes

Clés par groupe, gestion des membres, invitation par email — révocation prouvable.

Journal d'audit

Journal Merkle signé, téléchargeable, vérifiable hors ligne. Exports prêts pour SOC2.

Tarifs simples. Pas de quotas cachés.

Un coffre pour toujours. Vous payez par siège actif pour les coffres partagés et les exports d'audit. Pas de frais par élément, pas de supplément IA, pas de surcoût entreprise qui prend vos données en otage.

Personnel

0 CHF

pour toujours, un utilisateur

· Éléments et appareils illimités
· Générateur 2FA intégré
· Extension navigateur + apps mobiles
· Récupération Shamir ou BIP-39
· Historique de versions 30 jours
· Support communautaire

Commencer

Recommandé

Equipe

6 CHF/ siège / mois

facturé annuellement · CHF ou EUR

· Tout ce qui est dans Personnel
· Coffres partagés avec clés par groupe
· Révocation membre prouvable
· Historique de versions 1 an
· Journal d'audit + preuves Merkle
· Support email prioritaire

Essai gratuit

Entreprise

Sur mesure

25+ sièges, on-premise optionnel

· Tout ce qui est dans Equipe
· SSO (SAML 2.0 / OIDC)
· Provisioning SCIM
· Auto-hébergement sur votre infra
· DPA + résidence des données custom
· Contact technique nommé

Parler au commercial

Quotas indicatifs — pas de limite stricte sur les éléments ou pièces jointes. Facturation Stripe en CHF, EUR ou USD. Annulation à tout moment ; export du coffre en format ouvert en un clic.

Conçu pour ceux qui ne font pas confiance au cloud.

Le modèle de menace contre lequel nous expédions : le serveur est compromis, le réseau est observé, votre portable est volé, un ancien employé devient hostile. Chaque scénario était une contrainte de design, pas une feature v1.5.

Le serveur ne peut pas lire votre coffre.

Votre mot de passe maître dérive une KEK Argon2id sur votre appareil. Cette KEK enveloppe votre RootKey. Le serveur stocke uniquement le blob enveloppé — il ne peut pas retrouver RootKey sans votre mot de passe, et votre mot de passe ne quitte jamais le client.

Compromission de compte ≠ compromission de coffre.

Un attaquant qui vole votre cookie de session voit un coffre chiffré — exactement ce que voit le serveur. Les passkeys WebAuthn gardent la session elle-même. Deux verrous, deux clés.

Post-quantique hybride, aujourd'hui.

Le partage de coffre utilise X25519 + ML-KEM-768 (NIST FIPS 203) en KEM hybride cote client. Un adversaire quantique futur qui collecte le ciphertext aujourd'hui n'a rien. Le journal d'audit serveur signe en Ed25519 pour l'instant — la signature hybride ML-DSA arrive en v1.5.

Versionnage comme filet de sécurité.

Chaque modification est une nouvelle version immuable. Restaurez le mot de passe d'hier, comparez les versions, récupérez d'une suppression accidentelle — sans magie côté serveur, juste un historique chiffré append-only.

Format ouvert, pas de verrou.

Exportez votre coffre dans un schéma JSON documenté en un clic. Le format est publié ; la CLI de vérification est sous licence MIT. Partez quand vous voulez.

Stack auditée, pas de crypto custom.

Construit sur libsodium (classique) et libcrux (post-quantique). Le crate ilygo-crypto est open-source, dispose de vecteurs KAT et est revu par un audit externe avant chaque release.

Comment ILYGO Secret se compare

Même métier, priorités différentes. Nous prenons parti : zero-knowledge par défaut, hébergement souverain, hybride post-quantique, journal d'audit intégré.

Fonctionnalité	ILYGO Secret	1Password	Bitwarden	Apple Passwords
Métadonnées zero-knowledge	Total	Titre/URL visibles	Titre/URL visibles	Total (Apple ID)
Crypto post-quantique	Hybride ML-KEM-768	Non	Non	Non
Hébergement	Suisse (souverain)	USA / Canada	USA (auto-host dispo)	iCloud USA
Journal d'audit vérifiable	Merkle, Ed25519 cote serveur (PQ en v1.5)	Oui (serveur de confiance)	Tier Entreprise	Non
Option auto-hébergement	Oui (Docker)	Non	Oui	Non
Crypto open-source	MIT (crate complet)	Fermé	GPL (stack complet)	Fermé
Prix équipe (10 sièges)	60 CHF / mois	~80 USD / mois	~50 USD / mois	Gratuit (Apple-only)

Comment fonctionne la synchronisation

Trois étapes, toutes côté client. Le serveur est un magasin de blobs chiffrés qui ordonne les écritures et contrôle les accès. Il ne voit jamais un seul octet de texte clair.

// 1. Local derive
RootKey         = Argon2id(master_password, kdf_salt)
ItemKey         = random(32 bytes)

// 2. Wrap & sign on device
wrapped_item    = XChaCha20-Poly1305(ItemKey, plaintext)
wrapped_key     = XChaCha20-Poly1305(RootKey,  ItemKey)
audit_entry     = Ed25519.sign(device_priv, hash(wrapped_item))

// 3. Push to server (server sees ONLY this)
POST /v1/items { wrapped_item, wrapped_key, audit_entry }
                 ↳ stored as opaque BYTEA
                 ↳ Merkle-appended to the org log
                 ↳ pushed to other devices via WebSocket

Le serveur ne stocke que du ciphertext. Voler la base vous donne un tas de blobs chiffrés et aucun moyen de les lire. Voler un appareil compromet un appareil — les autres restent sûrs sous leurs propres clés ancrées dans l'authenticator.

ILYGO Secret est en beta privée.

L'app web est en ligne. Les apps iOS et Android natives, l'extension navigateur et l'image Docker auto-hébergeable arrivent dans le trimestre. Dites-nous votre cas d'usage — nous onboardons les équipes B2B de 5 à 50 en premier.

Web · en ligne iOS · bientôt Android · bientôt Extension · bientôt Auto-host · bientôt

Ecrivez-nous

Le gestionnaire de mots de passe qui ne voit pas vos secrets.