Sécurité et confidentialité : la preuve, pas juste la promesse
tchadiaPdf affirme que vos fichiers ne sont jamais envoyés sur un serveur. Cette page explique, en termes simples, comment cette promesse est techniquement tenue, ce qu'elle garantit réellement, et ce qu'elle ne garantit pas.
Tout se passe dans votre navigateur
tchadiaPdf est un site 100% statique : il n'y a aucun serveur applicatif derrière les outils. Quand vous fusionnez, convertissez ou modifiez un fichier, ce traitement est entièrement effectué par du code JavaScript qui s'exécute directement sur votre ordinateur ou votre téléphone, dans l'onglet de votre navigateur. Votre fichier est lu en mémoire localement, transformé localement, puis proposé au téléchargement localement (via un lien de type blob:, une simple zone mémoire du navigateur). À aucun moment son contenu n'est envoyé quelque part.
Une preuve technique, pas seulement une promesse
Une affirmation de confidentialité n'a de valeur que si elle est vérifiable. C'est pourquoi le dépôt de code de tchadiaPdf contient un test automatisé (tests/no-network-leak.spec.js, avec le framework Playwright) qui :
- intercepte absolument toutes les requêtes réseau d'un outil dès l'ouverture de la page ;
- lui fait traiter un fichier de test contenant un marqueur unique inséré dans son contenu ;
- va jusqu'au bout du traitement, jusqu'au téléchargement du résultat ;
- vérifie ensuite qu'aucune requête interceptée ne contient ce marqueur, et qu'aucune requête ne vise un domaine qui ne soit pas un CDN de librairie déjà utilisé par le site.
Ce test est exécuté automatiquement à chaque modification du code (intégration continue). Si un jour un outil venait à envoyer, même par erreur, le contenu d'un fichier vers un serveur, ce test échouerait et l'alerterait avant toute mise en ligne.
Les seules requêtes réseau : charger le code, pas vos fichiers
Les outils utilisent des librairies JavaScript spécialisées (lecture et écriture de PDF, d'images, de documents Word ou Excel...) pour effectuer les conversions. Pour rester rapide et léger, le site charge ces librairies depuis des CDN (réseaux de diffusion de contenu) publics et largement utilisés par l'industrie, plutôt que de les héberger lui-même. Ces requêtes ne transportent que du code (les librairies elles-mêmes), jamais vos fichiers. Les CDN utilisés par tchadiaPdf sont :
- cdnjs.cloudflare.com : librairies de manipulation de PDF (pdf-lib, pdf.js) et de compression (JSZip).
- cdn.jsdelivr.net : librairies de conversion de documents (docx, mammoth, xlsx, pptxgenjs, marked, epub.js), d'images (heic2any, UTIF, html2canvas) et de reconnaissance de texte (Tesseract.js).
- fonts.googleapis.com et fonts.gstatic.com : la police de caractères Inter utilisée pour l'interface du site.
Ces librairies ne sont chargées qu'une fois par visite (le navigateur les met ensuite en cache), et certaines ne sont chargées qu'au moment précis où elles deviennent nécessaires (par exemple, le moteur de reconnaissance de texte ne se charge que si vous utilisez l'OCR).
Le code source est public et auditable
tchadiaPdf est un projet open source sous licence MIT. L'intégralité du code, y compris celui de chaque outil et de ce test de non-fuite réseau, est publiquement consultable sur GitHub : github.com/YOSO98/tchadiaPDF. N'importe qui peut lire ce code, vérifier qu'il correspond bien à ce qui est décrit ici, et signaler un problème.
Ce que cela garantit, honnêtement
Ce que ça garantit : le contenu de vos fichiers (PDF, images, documents) ne quitte jamais votre appareil pendant leur traitement par un outil tchadiaPdf. C'est une garantie d'architecture (il n'existe tout simplement pas de serveur à qui envoyer ces fichiers), pas une simple politique qu'on pourrait changer discrètement, et elle est vérifiée par un test automatisé plutôt que simplement affirmée.
Ce que ça ne garantit pas :
- La sécurité de votre propre appareil ou de votre navigateur reste de votre responsabilité (mises à jour, antivirus, extensions installées, etc.). tchadiaPdf ne peut rien garantir au-delà de ce qui se passe dans l'onglet du navigateur.
- Un CDN tiers compromis reste, en théorie, un risque résiduel : si un de ces CDN était piraté et se mettait à distribuer du code malveillant, ce code s'exécuterait dans votre navigateur. Ce risque est réduit par des mesures d'intégrité des sous-ressources (SRI), en cours de déploiement sur l'ensemble des outils, qui empêchent le navigateur d'exécuter un fichier de librairie dont le contenu ne correspond pas exactement à celui attendu.
- Un futur outil ou une future mise à jour pourrait, par erreur humaine, introduire un bug qui enverrait des données par inadvertance. C'est précisément pour se prémunir contre ce risque que le test automatisé de non-fuite réseau existe et tourne en continu, et que le code source reste ouvert à l'audit de quiconque souhaite le vérifier.
Pour toute question ou tout signalement d'un comportement inattendu, voir la politique de sécurité du dépôt ou nous écrire à [email protected].