Gestionnaire de mots de passe Android 100 % local.
Aucun cloud. Aucun tracker. Aucun compte.
Vos secrets ne quittent jamais votre téléphone.
La majorité des gestionnaires de mots de passe synchronisent vos données via leur cloud — ce qui implique une confiance totale dans le fournisseur. Pass Tech prend le parti opposé : aucun serveur, aucun compte, aucune fuite possible côté backend, parce qu'il n'y a pas de backend.
- 100 % local — coffre chiffré stocké uniquement dans la mémoire interne de l'app
- Open source — Apache License 2.0, code auditable
- Crypto v4 hardened — Argon2id + AES-GCM-256 + KEK liée au matériel (StrongBox/TEE)
- Pack confidentialité radicale 5/5 — coffre leurre, mode panique, héritage, anti-phishing
- Aucune permission inutile —
INTERNETuniquement pour l'update GitHub et le HIBP opt-in
- Mots de passe avec générateur configurable (caractères 8–64 ou phrases Diceware FR)
- TOTP 2FA (RFC 6238) avec scanner QR
- Cartes bancaires (numéro, CVV, expiration, PIN — affichage 3D)
- Notes sécurisées
- Recherche locale par titre, identifiant, URL ou contenu
- Audit de sécurité (faibles, doublons, anciens, sans 2FA)
- Vérification de fuites HIBP (k-anonymity, opt-in)
- Export / import du coffre chiffré (
.ptbak) - Mises à jour vérifiables via GitHub Releases (SHA-256 publié)
- Coffre leurre — un 2ᵉ mot de passe ouvre un faux coffre crédible (déni plausible, timing aligné).
- Mode panique — verrouille tout, efface le presse-papiers et camoufle l'icône en « Calculatrice ».
- Héritage post-inactivité — un proche peut accéder au coffre après une période d'inactivité prolongée, sans cloud.
- Anti-phishing par domaine — vérifie le domaine du navigateur avant copie ; alerte sur typosquatting.
- Biométrie hardware-bound (optionnelle) — clé liée à Android Keystore, biométrie obligatoire pour lire.
| Composant | Choix (vault v4) |
|---|---|
| Dérivation de clé | Argon2id (RFC 9106) — m = 19 MiB, t = 2, p = 1, L = 32 (OWASP 2024) |
| Chiffrement | AES-256-GCM (NIST SP 800-38D), nonce 96 bits, tag 128 bits |
| Anti-downgrade | AAD GCM lie `version |
| Clé liée matériel | KEK AES/GCM/NoPadding 256 dans Android Keystore (StrongBox si dispo, fallback TEE) |
| Dérivation finale | `HKDF-SHA256(salt, pwHash |
| Déni plausible | 2 alias KEK créés systématiquement à l'install (timing aligné, salt dummy 32 o) |
| Biométrie | Android Keystore + BiometricPrompt CryptoObject (setUserAuthenticationRequired(true)) |
| Anti-brute-force | Verrouillage progressif après 5 échecs (30 s → 30 min) |
| Captures écran | FLAG_SECURE actif |
| Clipboard | Effacement auto + flag IS_SENSITIVE (Android 13+) |
| RASP | Détection root + émulateur + debugger |
| Wipe RAM | Clé maîtresse effacée après usage et au verrouillage |
| Signature APK | v2+ uniquement (anti-CVE-2017-13156 / Janus) |
| Updates | SHA-256 publié dans chaque release GitHub |
Voir SECURITY.md pour le modèle de menace complet et le signalement de vulnérabilités.
Captures à venir.
- Installer Obtainium
- Ajouter cette URL :
https://github.com/gitubpatrice/pass_tech
Télécharger app-arm64-v8a-release.apk depuis la dernière release (ABI arm64-v8a, Android 7.0+).
Vérifier l'intégrité :
sha256sum app-arm64-v8a-release.apkLe hash doit correspondre à celui publié dans les notes de release.
Samsung One UI 6.1+ : si l'install est bloquée, désactivez temporairement Réglages → Sécurité et confidentialité → Auto Blocker.
| Permission | Pourquoi |
|---|---|
INTERNET |
Vérification de mise à jour (GitHub Releases) et HIBP (k-anonymity, opt-in). Aucune autre requête réseau. |
USE_BIOMETRIC / USE_FINGERPRINT |
Déverrouillage biométrique optionnel via BiometricPrompt. |
CAMERA |
Scanner un QR code TOTP pour ajouter un 2FA. Flux caméra traité localement, jamais enregistré. |
Pas de localisation, pas d'accès aux contacts, pas d'accès aux médias, pas de stockage externe (hors export volontaire).
Pré-requis : Flutter 3.x, SDK Dart ^3.11.5, JDK 17, Android SDK avec minSdk = 24.
flutter pub get
flutter build apk --release --split-per-abiBuild Android exigeant un keystore release configuré dans android/key.properties (non versionné) :
storePassword=...
keyPassword=...
keyAlias=...
storeFile=../keystore.jks- LICENSE — Apache License 2.0
- PRIVACY.md / PRIVACY.fr.md — politique de confidentialité
- TERMS.md / TERMS.fr.md — conditions d'utilisation
- SECURITY.md — modèle de menace et politique de signalement
- THIRD_PARTY_NOTICES.md — dépendances tierces
- NOTICE — mentions Apache 2.0
- files-tech.com/pass-tech.php — page produit
- Releases — APK signés
- contact@files-tech.com — support et signalement de vulnérabilités
Copyright 2026 Files Tech / Patrice Haltaya
Distribué sous Apache License, Version 2.0. Voir LICENSE pour le texte complet.
Pass Tech est fourni « tel quel », sans garantie d'aucune sorte. Les données stockées sont chiffrées avec votre mot de passe maître et liées à la KEK matérielle de votre appareil — si vous perdez le mot de passe maître ou si l'appareil est réinitialisé/wipe Keystore, le coffre est irrécupérable. Pensez à exporter régulièrement votre coffre chiffré (.ptbak).