DoraCom — communiquer en clair pour vous, en silence pour le monde. Nous ne savons ni ce que vous dites, ni ce que vous faites sur le réseau. Parce que nous ne stockons rien.
Comparaison factuelle des trois messageries les plus utilisées au monde face à DoraCom. Sources : politiques de confidentialité publiques de chaque éditeur, 2025.
Faits cités tirés des politiques de confidentialité publiques. Signal exige un numéro de téléphone à l'inscription (signal.org/legal). WhatsApp partage métadonnées avec Meta selon sa politique EEA 2025 (whatsapp.com/legal/privacy-policy-eea). Telegram n'active l'E2EE qu'en mode « Secret Chats » manuel, les chats par défaut sont stockés en clair (telegram.org/faq).
Même équipe, même juridiction, même standard d'ingénierie. DoraCom est le pendant messagerie de DoraVPN — la souveraineté étendue à vos conversations.
Tout existe et reste sur votre appareil. Nos serveurs ne stockent rien qui vous concerne — ni messages, ni métadonnées, ni sessions. Ce qui n'existe pas ne peut pas fuir, ni être saisi, ni être déchiffré demain par le quantique.
À la première ouverture, un ID à 16 chiffres est généré localement (XXXX-XXXX-XXXX-XXXX). Aucune information personnelle n'est jamais demandée, jamais transmise. Votre identité est un secret cryptographique, pas un identifiant commercial.
Serveurs en Suisse uniquement, société éditrice CyberAigen Sàrl inscrite au registre du commerce du canton du Valais. Pas d'obligation de coopération avec les juridictions étrangères. Audits sécurité semestriels, rapport public.
À l'ouverture, votre navigateur génère localement un identifiant unique au format XXXX-XXXX-XXXX-XXXX. Il ne quitte jamais votre appareil. Pas de mot de passe, pas d'email, pas de téléphone.
QR code, lien court signé, ou simplement votre ID en clair. Le partage se fait en personne ou par canal sûr. Aucun annuaire centralisé — vous décidez qui peut vous joindre.
Messages, appels audio/vidéo, fichiers — tout est chiffré bout-en-bout par Double Ratchet, jamais stocké chez nous. Mode panique, expiration auto, mur WiFi local : la confidentialité a plusieurs cordes.
De l'installation à la première conversation chiffrée : moins d'une minute. Aucun formulaire, aucun email de confirmation, aucune attente. La cryptographie n'est plus une corvée — elle est la valeur par défaut.
Les messageries du marché conservent métadonnées, sessions et sauvegardes sur leurs serveurs. La vie privée n'existe simplement pas — vous ignorez qui regarde, quand, et combien de temps c'est conservé. Pire : tout ce qui dort aujourd'hui sous chiffrement classique sera déchiffrable demain par l'ordinateur quantique. C'est la stratégie « harvest now, decrypt later » que pratiquent déjà certaines agences.
base64, le chiffre en AES-256-GCM, puis le découpe en chunks numérotés. La clé reste exclusivement chez les pairs.
localStorage chiffré du destinataire.
256 RTCPeerConnection ouvertes en même temps. Notre solution : aucun flux n'est jamais simultané. L'émetteur ouvre une seule connexion WebSocket vers le relais aveugle, qui distribue les fragments aux destinataires en éventail temporel. Résultat : aucune limite pratique sur la taille des groupes, sans jamais compromettre le chiffrement bout-en-bout.
Le serveur DoraCom transporte. Il ne lit pas, il ne garde pas, il ne sait pas. Le fichier original n'existe que là où il est créé et là où il est lu — nulle part ailleurs, à aucun moment.
Bootstrap de session Signal-grade (Identity P-256 + Signed Pre Key rotée 7j + One-Time Pre Keys jetables + Ephemeral Key) combiné avec un échange Kyber-768 (NIST FIPS 203). Si demain quelqu'un casse l'elliptique, vos clés restent protégées par le post-quantique. Et inversement.
SK = HKDF(DH1‖DH2‖DH3[‖DH4][‖KEM_ss])Chaque message a sa propre clé. Le Double Ratchet (Signal spec) chaîne ECDH + HKDF à chaque tour. Pour les canaux, on hérite du DR pour distribuer des Sender Keys signées ECDSA — un canal compromis ne révèle pas les précédents.
WebRTC E2E natif. La fingerprint DTLS de votre interlocuteur est signée par son identité ECDSA — si le relais essaie un MITM, votre client refuse. TURN coturn self-hosted en TLS pour les NAT symétriques, sans casser le chiffrement.
DoraCom est mirroré sur un Hidden Service v3 Tor. Le header HTTP Onion-Location permet à Tor Browser de basculer automatiquement sur la version .onion — votre IP ne parvient même pas à notre serveur, ni à un resolver DNS.
Le relais ne sait pas à qui il livre un message. Le sender dérive un identifiant de boîte HKDF(rendezvous) que seul le destinataire reconnaît. Pas même les métadonnées de routage ne fuitent.
Tous les secrets sensibles (identity, DR states, recovery phrase, ID 16 chiffres, admin token) sont chiffrés dans le navigateur avec une clé AES-256-GCM non-extractable stockée dans IndexedDB. Mode Tier 2 : PBKDF2-SHA256 600 000 itérations (baseline OWASP 2026).
Chaque opération sensible est signée par notre clé ECDSA P-256 et chaînée par SHA-256. Une modification rétroactive est cryptographiquement détectable. Pubkey publique pour vérifier soi-même.
/api/audit/pubkeyopensslAucun de vos bugs ne quitte notre infra. GlitchTip (Sentry-compatible) tourne sur notre propre serveur Infomaniak — pas Sentry SaaS US, pas DataDog, pas New Relic. Capture client + serveur, dedup 5min.
/api/sentry/report
Node.js + Express + Socket.io + SQLite WAL chiffré. Helmet CSP strict, pas de 'unsafe-inline' sur l'app. Backups chiffrés AES-256-CBC PBKDF2 100k, rotation 7 jours. Service Worker offline-first.
Ce qui nous manque encore (et qu'on assume) : audit Cure53/NCC externe (planifié Q3 2026), open source des modules crypto (1-2 semaines), reproducible builds. La crypto est mature, la vérifiabilité publique est la prochaine étape.
X3DH + Double Ratchet + ML-KEM-768 hybride. Chaque message a sa propre clé, résistante quantique.
Partage chiffré avec expiration auto : 1 min · 1 h · 1 j. Purge serveur garantie.
Clé dérivée d'un secret partagé. Approbation propriétaire pour rejoindre.
Tableau d'affichage limité au réseau local. Messages expirables, jamais centralisés.
WebRTC E2E + fingerprint signée par votre identité ECDSA. TURN coturn self-hosted pour les NAT symétriques. PiP, partage d'écran, fenêtre flottante.
Effacement instantané de toutes les conversations. Aucune trace résiduelle.
Reply/quote, édition (10 min), mentions @user, pin owner-only, typing indicator, réactions emoji. Le tout E2E préservé.
iOS 16.4+, Android, macOS, Windows, Linux. Synchronisation multi-onglets.
Service Worker : conversations restent lisibles sans réseau, chiffrées localement.
Affichage choisi par vous. Membres invisibles par défaut. Jamais le nom légal.
Clé non-extractable IndexedDB. Tier 2 passphrase : PBKDF2 600k iter (OWASP 2026). Lockout style Apple anti-bruteforce.
Hidden Service Tor exposé en parallèle de doracom.ch. Header HTTP Onion-Location : Tor Browser bascule auto. Juridiction Valais 🇨🇭.
Enregistrez, envoyez chiffré. Transcription locale en texte (modèle navigateur) — l'audio ne quitte jamais l'appareil en clair.
Packs animés rendus localement. Réactions emoji, GIF. Aucun tracker, aucun CDN tiers — tout est self-hosted.
Photos & vidéos qui s'effacent après ouverture. Légende effacée, anti-recapture. Idéal pour l'éphémère sensible.
Routage HKDF : le relais ignore qui reçoit. Sealed sender + jetons PrivacyPass — le serveur ne voit ni l'expéditeur, ni le destinataire.
Safety number ECDSA par contact, re-vérifié si une clé change. TOFU + pinning : le serveur ne peut pas se faire passer pour votre interlocuteur.
Phrase de récupération (96 bits) protégée bcrypt. Reprenez l'accès sans email ni numéro — vous seul détenez la clé.
Messages épinglés, médias en grille & lightbox, réorganisation glisser-déposer persistée localement. Votre espace, votre ordre.
Visio de groupe via Jitsi Meet (E2E Olm/Megolm). Salles éphémères, aucun enregistrement, lien jetable.
Pour un dossier de divorce d'un client fortuné, aucun message ne doit jamais transiter par un serveur que je ne contrôle pas. DoraCom est la seule solution qui me garantit qu'il n'y a rien à saisir, parce qu'il n'y a rien.
J'ai travaillé pendant 12 ans sur des sujets sensibles avec des sources protégées. Avant DoraCom, j'utilisais Signal — désormais je n'ai même plus à expliquer à mes sources pourquoi leur numéro est en sécurité. Elles n'en donnent aucun.
Nos clients ne tolèrent ni la collecte de métadonnées, ni les juridictions étrangères. DoraCom coche les deux cases. Et le fait que ce soit édité par CyberAigen, comme DoraVPN qu'on utilise déjà, simplifie la conformité interne.
Une organisation a besoin de gérer ses accès, ses paiements, ses canaux — sans jamais lire les conversations. Le dashboard DoraCom donne aux admins une vue d'ensemble agrégée et anonyme, tout en gardant le serveur aveugle. Vous administrez l'infrastructure ; jamais les messages.
La sécurité n'est pas un interrupteur, c'est un empilement. DoraCom chiffre le contenu de bout en bout par défaut. Ajoutez le bon matériel (Pixel + GrapheneOS) et le bon réseau (DoraVPN, puis Tor) et vous atteignez le setup le plus défendable disponible aujourd'hui — celui qu'utilisent journalistes, dissidents et équipes sensibles.
🔒 chiffré · ✓ neutralisé/invisible · ● masqué · ◐ partiel · ✗ exposé
La colonne de droite — Pixel + GrapheneOS + DoraVPN + Tor — ne laisse aucune prise. C'est, à notre connaissance, le seuil maximal atteignable aujourd'hui par un humain non-étatique. Pas « inviolable » : le plus proche du 100% qui existe.
Un adversaire patient enregistre dès aujourd'hui votre trafic chiffré et l'archive. Le jour où un ordinateur quantique cassera la cryptographie elliptique (estimé ~2030), il déchiffrera rétroactivement tout ce qu'il a stocké. Sauf si la clé a aussi été protégée par du post-quantique.
Niveau Signal PQXDH. La clé de session dérive de HKDF(DH ‖ KEM_ss) : il faut casser les deux mondes (elliptique et quantique) pour lire un seul message.
Pixel 10 verrouillé Titan M2, GrapheneOS pré-configuré, DoraVPN activé d'usine. Aucune ligne de commande, aucune compétence technique requise.
Tout du pack Solo + CyberAigen Mail Watch, la veille e-mail intégrée à votre dashboard DoraCom — qui vous alerte avant les attaquants.
/accountcode de récupération à 24 mots (BIP39). C'est la seule clé qui permet de restaurer votre identité sur un nouvel appareil. Ce code ne quitte jamais votre appareil et n'est jamais transmis à nos serveurs — il doit être conservé hors-ligne (papier, coffre). Sans lui, l'ID est irrécupérable. C'est le prix de l'inviolabilité.0 datas, 0 base, 0 trace. Édité en Suisse. La rupture est à un clic.