Skip to main content
Securite

Securite chez ZillaSoft

Comment nous protegeons votre compte, vos donnees et l'infrastructure qui fait fonctionner nos produits.

Ce que nous faisons pour vous proteger

Ces pratiques sont en place aujourd'hui, pas prevues pour l'avenir.

HTTPS en permanence

Tout le trafic est servi exclusivement via HTTPS. Les requetes HTTP sont refusees. HSTS est applique avec un max-age d'un an pour prevenir les attaques de degradation de protocole.

En-tetes de securite

Chaque reponse inclut X-Content-Type-Options, X-Frame-Options (DENY), Referrer-Policy (strict-origin-when-cross-origin) et une politique de securite du contenu (CSP) stricte appliquee au niveau du CDN. La protection XSS est geree par la CSP avec une politique script-src 'self' plutot que par l'en-tete obsolete X-XSS-Protection.

Authentification via Auth0

Toute l'authentification des utilisateurs est geree par Auth0 via le flux PKCE. ZillaSoft ne stocke aucun mot de passe. Les jetons de session sont conserves en memoire et ne sont jamais persistes dans localStorage.

Chiffrement des donnees au repos

Toutes les donnees de snippets Snipzilla sont chiffrees localement avec AES-256-GCM. Les cles de chiffrement sont stockees dans le trousseau du systeme d'exploitation de votre appareil et ne sont jamais ecrites sur le disque avec vos donnees. Vos fichiers de snippets sont illisibles au repos, meme avec un acces direct au stockage sous-jacent.

Distribution mondiale via CDN

Le site web de ZillaSoft est servi depuis AWS CloudFront, un CDN distribue mondialement. Les ressources statiques sont servies depuis des points de presence proches de chaque visiteur, sans aucun serveur d'origine expose a l'internet public.

Authentification des e-mails

Tous les e-mails sortants de zillasoft.io sont proteges par la signature DKIM et l'application de la politique DMARC. Cela previent l'usurpation d'identite et garantit l'integrite des e-mails pour les messages transactionnels et de notification.

Protection contre les bots et le spam

Tous les formulaires publics utilisent Cloudflare Turnstile pour verifier les soumissions humaines sans suivi invasif. Une couche honeypot secondaire filtre silencieusement les bots automatises avant que toute requete n'atteigne notre backend.

Limitation du debit de l'API

L'API Snipzilla applique des limites de debit par point de terminaison pour prevenir les abus et les tentatives de force brute. Les requetes qui depassent les seuils sont rejetees avant d'atteindre la logique applicative.

Les snippets restent sur votre appareil

Les donnees de snippets des utilisateurs du plan Standard sont stockees localement sur votre machine et ne sont jamais transmises aux serveurs de ZillaSoft. La synchronisation cloud est incluse dans les plans Premium et Enterprise et active par defaut. Les donnees synchronisees sont chiffrees de bout en bout avant de quitter votre appareil.

Suppression complete du compte

Les utilisateurs peuvent supprimer definitivement leur compte directement depuis le tableau de bord a tout moment. La suppression se propage a tous les systemes : l'abonnement est annule, toutes les donnees stockees sont purgees de notre base de donnees et l'enregistrement d'identite est supprime de notre fournisseur d'authentification. Rien ne subsiste.

Aucun suivi par des tiers

Le site web de ZillaSoft ne charge aucun script d'analyse, de publicite ou d'empreinte digitale. Les polices sont auto-hebergees afin qu'aucune requete ne soit envoyee a Google Fonts ou a des services similaires. La seule ressource externe limitee a ce site est Cloudflare Turnstile, utilisee exclusivement sur les formulaires pour la protection contre les bots.

Aucun enregistrement de frappe, jamais

Snipzilla necessite un hook clavier global pour detecter votre caractere declencheur configure pendant que vous tapez. Ce mecanisme est le meme que celui utilise par les keyloggers, il convient donc d'etre direct : Snipzilla surveille uniquement votre caractere declencheur. Aucune frappe n'est enregistree, stockee, transmise ou partagee. Le hook existe exclusivement pour detecter les declencheurs d'expansion et rien d'autre.

Synchronisation chiffree de bout en bout

Les donnees de snippets synchronisees dans le cloud sont chiffrees de bout en bout avec AES-256-GCM. Le chiffrement et le dechiffrement s'effectuent entierement sur votre appareil. Le serveur ne stocke que du texte chiffre qu'il ne peut pas lire. Un code de recuperation est genere lors de la premiere synchronisation ; conservez-le pour restaurer l'acces sur un nouvel appareil. Toutes les donnees sont egalement securisees en transit par HTTPS.

Divulgation responsable

Vous avez trouve un probleme de securite ? Nous voulons le savoir. Veuillez signaler les vulnerabilites de maniere privee avant toute divulgation.

Un fichier security.txt est disponible a l'adresse /.well-known/security.txt avec nos coordonnees dans le format standard pour les chercheurs en securite.

Comment signaler

  1. Soumettez votre rapport via notre formulaire de contact securise (selectionnez "Securite" comme sujet). Les rapports sont achemines vers un canal prive et ne sont jamais visibles publiquement.

  2. Nous accuserons reception de votre rapport dans les 2 jours ouvrables et visons a fournir un correctif ou une mitigation dans les 30 jours, selon la gravite.

  3. Nous vous demandons de nous laisser le temps de resoudre le probleme avant toute divulgation publique. Nous crediterons les chercheurs qui suivent les pratiques de divulgation responsable.

Vous preferez l'e-mail ? Vous pouvez nous contacter directement a [email protected]. Les deux canaux aboutissent a la meme boite de reception de securite privee.

Ce qui arrive

Audit SOC 2 Type II

Prevu apres notre lancement initial. La periode d'audit commencera une fois que nous aurons une base d'utilisateurs stable qui justifie le processus et le cout.

Verifications de securite par des tiers

Des evaluations de securite independantes seront programmees dans le cadre de la feuille de route de preparation pour les entreprises.

Support macOS

Snipzilla prend actuellement en charge Windows et Linux. Le support macOS est prevu dans la feuille de route et sera publie une fois les exigences de signature de code et de certification de plateforme satisfaites.

Audit d'accessibilite par un tiers

Un audit independant conforme aux WCAG 2.1 Niveau AA est prevu pour verifier formellement nos engagements en matiere d'accessibilite sur l'ensemble des produits et proprietes web de ZillaSoft.

Gestionnaire de presse-papiers Stashzilla

Un gestionnaire de presse-papiers de bureau axe sur la confidentialite pour Windows et Linux, en cours de developpement. Comprend une superposition de recherche globale, un marquage de clips par IA et une integration approfondie avec Snipzilla.

Modifications de cette page

Nous pouvons mettre a jour nos pratiques de securite au fil du temps.

Type de modification Avis
Mineur (fautes de frappe, clarifications, requis par la loi) Mise a jour de la date "Derniere mise a jour", prise d'effet immediate
Important (nouvelles pratiques, traitement des donnees, tiers) E-mail au moins 14 jours avant la date d'entree en vigueur

Politiques connexes

Politique de confidentialite

Les donnees que nous collectons, comment nous les utilisons et vos droits.

Conditions d'utilisation

L'accord qui regit votre utilisation des produits ZillaSoft.

Accord de niveau de service

Nos engagements de disponibilite et notre processus de reponse aux incidents.

Dernière révision : 13 juin 2026