Sécurité des mots de passe stockés dans Cozy

Comment sont stockés vos mots de passe ?

La sécurité est au cœur des préoccupations de Cozy Cloud. Ainsi, pour répondre à cette nécessité, tout en remplissant ses objectifs, vos mots de passes sont stockés de manière différenciés selon les besoins :

Cas 1 : Les applications de collecte de données (Ameli, impôts, …)

Si vous avez connecté des services à votre Cozy pour importer automatiquement vos données, les mots de passe de connexion à ces services sont enregistrés dans votre Cozy via du chiffrement asymétrique. L’environnement dans lequel s’exécute la récupération des données possède une clé pour déchiffrer ces mots de passe. En effet, les connecteurs ont besoin de pouvoir accéder à vos identifiants en clair, afin de se connecter aux services pour importer vos données. Le mot de passe est déchiffré à la volée lorsque le connecteur s’exécute, mais n’est stocké nulle part sous cette forme déchiffrée.

Cas 2 : les connexions aux banques

Pour importer vos données bancaires, nous passons par un prestataire agréé, Powens (anciennement connu sous le nom de Budget Insight). Les informations de connexion à vos comptes sont stockées, chiffrées, chez Powens. Elles ne transitent jamais par votre Cozy : lorsque vous connectez un compte bancaire à votre Cozy, votre navigateur communique directement avec Powens. Les mots de passe de vos comptes en banque ne sont donc jamais stockées dans votre Cozy. Suivant les méthodes de connexion proposées par les banques, Powens dispose soit de votre mot de passe, soit d’un mot de passe temporaire spécifique à cet usage, fourni par la banque.

Cas 3 : vous utilisez Cozy Pass pour gérer tous vos mots de passe

Dans Cozy Pass, vos mots de passe sont chiffrés coté client à l’aide d’une clef de chiffrement symétrique AES 256 bits. C’est à dire directement dans votre navigateur ou sur votre téléphone. Ainsi, Cozy ne peut accéder à aucune information stockée dans Cozy Pass.

La clé de chiffrement est dérivée du mot de passe de votre Cozy. Attention à ne pas l’oublier. Si vous oubliez le mot de passe de votre Cozy, vous ne pourrez plus accéder à vos identifiants stockés dans l’application Pass.

Cette option a été choisie afin de renforcer la sécurité et la confidentialité de vos accès ne nécessitant pas l'automatisation de taches (cf. cas 1)

Note : lorsque vous connectez un service tiers à votre Cozy, ses identifiants sont automatiquement ajoutés dans Cozy Pass. Ces identifiants sont donc stockés à deux endroits : dans Cozy Pass, chiffrés avec une clé que nous ne pouvons pas déchiffrer, et dans le trousseau de clés des applications de collecte, chiffrés avec une autre clé, comme expliqué dans le premier point.

*cette automatisation nécessite l'activation préalable de Cozy Pass. Pour cela, rendez vous dans Pass depuis le menu de votre Cozy, et activez votre gestionnaire de mots de passe

Vous voulez en savoir plus ? Contactez-nous Contactez-nous