À propos
ppush est un service de partage sécurisé de secrets, opéré par c4t.lol. Il remplace l'envoi de mots de passe par email ou messagerie par des liens chiffrés à usage limité, qui s'autodétruisent.
Zéro-knowledge : le serveur ne peut pas lire vos secrets
Quand vous créez un push, votre navigateur génère une clé de chiffrement aléatoire et chiffre le secret localement (AES-256-GCM). Seule la version chiffrée est envoyée au serveur. La clé, elle, est placée dans la partie du lien située après le # — une partie que les navigateurs ne transmettent jamais au serveur.
Concrètement : même un accès complet au serveur, à sa base de données ou à ses sauvegardes ne permet de lire aucun secret. Seules les personnes possédant le lien complet peuvent déchiffrer — c'est mathématique, pas une promesse.
Chaque secret expire automatiquement après un nombre de vues ou un délai que vous choisissez. À l'expiration, le contenu chiffré est définitivement effacé du serveur.
Questions fréquentes
Comment partager un mot de passe correctement ?
Créez le push, copiez le lien, transmettez-le au destinataire. Pour un secret sensible : limitez à 1 vue, ajoutez une passphrase et communiquez-la par un autre canal (téléphone, de vive voix). Ainsi, même si le lien est intercepté, le secret reste protégé.
J'ai perdu le lien, pouvez-vous le retrouver ?
Non — et c'est voulu. La clé de déchiffrement n'existe que dans le lien : ni le serveur ni les administrateurs ne la connaissent. Recréez simplement un push.
Le destinataire a vu « ce secret a expiré », pourquoi ?
Le push a atteint sa limite de vues ou sa date d'expiration, ou il a été détruit (par vous ou par le destinataire). Vérifiez le journal d'audit dans votre historique : chaque consultation y est tracée avec date et adresse IP. Si une vue a été consommée par un inconnu, le lien a fuité en route — recréez un push avec passphrase.
Quels types de contenus puis-je pousser ?
Mots de passe, textes libres (configurations, clés SSH, notes), fichiers (jusqu'à 10 Mo sans compte, 100Mo avec — chiffrés dans votre navigateur avant l'envoi) et URLs secrètes (le destinataire est redirigé après déchiffrement).
Faut-il un compte pour partager un secret ?
Non : le partage est ouvert à tous, sans inscription. Sans compte, les liens sont limités à 7 jours et 5 vues, les fichiers à 10Mo, et vous n'avez pas d'historique. Un compte gratuitdébloque l'historique de vos liens, le suivi des consultations (qui a ouvert le secret, quand), des fichiers jusqu'à 100 Mo et des durées plus longues (30 jours / 50 vues).
Qui peut créer un compte ?
Tout le monde : l'inscription est libre et gratuite — une adresse email et un mot de passe (12 caractères min.) suffisent, et la double authentification est disponible. La consultation d'un secret reçu ne nécessite, elle, aucun compte.
Et si je perds mon application 2FA ?
Contactez ppush.admin@c4t.lol : un administrateur peut réinitialiser votre double authentification après vérification.
Détails techniques
- Chiffrement : AES-256-GCM via WebCrypto, clé générée côté client, jamais transmise (fragment d'URL). Fichiers chiffrés par chunks de 8 Mio avec protection contre le réordonnancement.
- Comptes : mots de passe hachés en Argon2id, double authentification TOTP, sessions opaques hachées en base.
- Hébergement : infrastructure privée en France, conteneur isolé, sauvegardes chiffrées quotidiennes. Aucun service tiers ne voit transiter les contenus.
- Journal d'audit par push : créations, consultations, tentatives de passphrase erronées, expirations.
- API REST avec tokens personnels — voir la documentation API.
Mentions légales & conditions d'utilisation
Éditeur & hébergement
Service édité et opéré par c4t.lol. Hébergé sur infrastructure privée en France. Contact : ppush.admin@c4t.lol.
Données traitées
Pour les titulaires de compte : adresse email, nom, journal de connexions. Pour chaque push : métadonnées (dates, compteur de vues) et journal d'audit incluant adresses IP et navigateurs des consultations — à des fins de traçabilité de sécurité. Les contenus des secrets ne sont jamais accessibles à l'éditeur(chiffrement de bout en bout) et sont définitivement effacés à l'expiration. Conformément au RGPD, vous pouvez exercer vos droits d'accès, de rectification et d'effacement auprès du contact ci-dessus.
Conditions d'utilisation
- Tout usage à des fins illicites (diffusion de contenus illégaux, hameçonnage, atteinte à des tiers) est interdit et entraîne la purge des contenus concernés et la désactivation du compte.
- Chaque utilisateur est responsable des contenus qu'il pousse et de la transmission des liens qu'il génère.
- Le service est fourni « en l'état », sans garantie de disponibilité. Par conception, un secret expiré ou un lien perdu sont irrécupérables: ppush n'est pas un outil de stockage ni de sauvegarde.
- L'éditeur se réserve le droit de désactiver un compte ou de purger un push en cas d'abus, sans pouvoir consulter son contenu.
- Signalement de vulnérabilité : voir security.txt. Les signalements de bonne foi sont les bienvenus et ne feront l'objet d'aucune poursuite.