Protection des données et chiffrement

UserLock garantit la confidentialité et l’intégrité de toutes les communications entre ses composants, ainsi que la protection des identifiants stockés par le service.

Publié le 8 octobre 2025

Chiffrement des communications

Toutes les communications entre les agents UserLock, la console Windows, la console Web (Web App) et le service UserLock sont entièrement chiffrées.

Ce chiffrement protège les identifiants, les jetons d’authentification et les données de session échangées sur le réseau.

Échange de clés

UserLock utilise le protocole Elliptic-Curve Diffie–Hellman (ECDH) pour l’échange de clés, avec des courbes elliptiques standard :

  • ECDH 521 bits,

  • ECDH 384 bits,

  • ECDH 256 bits.

Chaque composant génère ses propres clés privées :

  • Le service UserLock conserve ses clés privées uniquement pendant son exécution en cours.

  • L’agent UserLock crée de nouvelles clés privées à chaque nouvelle connexion.

La clé de session finale est dérivée d’un hachage SHA de la clé ECDH :

  • SHA-384 ou SHA-256 selon la courbe utilisée.

Chiffrement symétrique

Une fois l’échange de clés terminé, toutes les données sont chiffrées à l’aide de l’AES en mode CBC :

  • Clé AES 256 bits lorsque SHA-384 est utilisé,

  • Clé AES 128 bits lorsque SHA-256 est utilisé.

Toutes les opérations de chiffrement s’appuient sur l’API Windows Cryptography API: Next Generation (CNG), garantissant un haut niveau de sécurité et la conformité avec les standards Microsoft.

Stockage des mots de passe

UserLock ne stocke jamais d’identifiants en clair.
Tous les mots de passe gérés par les services UserLock sont chiffrés à l’aide de l’API de protection des données Windows (DPAPI), de sorte que seul le compte de service concerné puisse les déchiffrer.

Mots de passe du service principal

  • Les mots de passe enregistrés par le service UserLock sont chiffrés avec DPAPI.

  • Seul le compte de service UserLock (NETWORK_SERVICE) est autorisé à les déchiffrer.

Rapports planifiés

Lors de l’utilisation de rapports planifiés, le mot de passe SMTP utilisé pour l’envoi des e-mails est enregistré par le service UserLock Helper :

  • Le chiffrement DPAPI est également appliqué.

  • Seul le compte LocalSystem peut déchiffrer ce mot de passe.

Résumé

  • Toutes les communications entre les composants UserLock sont chiffrées via ECDH pour l’échange de clés et AES pour le chiffrement symétrique.

  • Les clés de chiffrement sont éphémères et renouvelées automatiquement à chaque session.

  • L’API CNG assure la compatibilité avec les standards de sécurité Microsoft.

  • Les mots de passe sont stockés uniquement sous forme chiffrée avec DPAPI, et accessibles exclusivement aux comptes de service Windows concernés.

Cette architecture garantit la confidentialité et l’intégrité de toutes les données sensibles gérées par UserLock.