TZURTZURRetour à TZUR pour Windows

TZUR for Windows · Mentions légales

Principes de sécurité

Conception non dépositaire

TZUR Wallet est entièrement non dépositaire. Vos clés privées ne sont jamais stockées sur des serveurs, et TZUR n'a aucune capacité d'accéder à vos fonds, de les geler ou de les déplacer. Il n'y a aucun compte à créer, aucun stockage cloud des données du portefeuille, et aucun enregistrement côté serveur de vos avoirs en Bitcoin. Vos clés existent uniquement sur votre ordinateur, protégées par la sécurité de Windows et, lorsque cela est activé, par le TPM de votre ordinateur. Si les serveurs de TZUR disparaissaient demain, votre Bitcoin resterait pleinement accessible. Vous pouvez récupérer votre portefeuille à l'aide de votre phrase de récupération et de toute application de portefeuille compatible BIP-39.

Génération et dérivation des clés

Les clés privées sont générées localement sur votre ordinateur. L'aléa cryptographique est fourni par le générateur de nombres aléatoires sécurisé du système d'exploitation (BCryptGenRandom sur Windows). TZUR suit BIP-32 pour la dérivation hiérarchique déterministe des clés, ce qui signifie que l'ensemble de votre portefeuille est dérivé d'une seule graine maîtresse. Pour la génération d'adresses, TZUR implémente BIP-84 afin de produire des adresses Native SegWit (bech32) en utilisant le chemin de dérivation m/84'/0'/0'. Cela est entièrement déterministe : la même graine produira toujours la même séquence d'adresses. Aucun matériel de clé n'est jamais généré sur, ni transmis à, un serveur distant.

Sécurité de la phrase de récupération

Votre phrase de récupération de 12 mots est générée localement conformément à la norme BIP-39. Cette phrase de récupération est le seul mécanisme de récupération de votre portefeuille. TZUR ne stocke, ne transmet ni n'a aucun accès à votre phrase de récupération. La phrase est affichée une fois lors de la création du portefeuille et peut être consultée à nouveau dans les Paramètres à des fins de sauvegarde. Elle n'est jamais envoyée sur le réseau, jamais inscrite dans les journaux de serveur, et jamais incluse dans les données d'analyse. Si vous perdez votre phrase de récupération et votre ordinateur, votre Bitcoin ne peut être récupéré par personne, y compris TZUR.

Gestion de la mémoire

Le matériel de clé privée est traité comme une donnée toxique. Les clés sont chargées depuis le stockage sécurisé uniquement lorsqu'elles sont nécessaires à la signature des transactions. Une fois la transaction signée, tout le matériel de clé est immédiatement effacé de la mémoire. Les clés privées ne sont jamais mises en cache dans l'état de l'application, jamais écrites dans des fichiers temporaires, jamais journalisées, et jamais conservées dans un stockage non protégé.

Stockage sécurisé

Les données sensibles du portefeuille, y compris la graine chiffrée, sont stockées dans un fichier de secrets local scellé avec Windows DPAPI (l'API de protection des données de Windows). DPAPI lie les données à votre compte utilisateur Windows, de sorte qu'elles ne peuvent pas être transférées vers une autre machine ni échangées hors ligne. Sur les ordinateurs équipés d'un Trusted Platform Module (TPM), vous pouvez en outre sceller la graine chiffrée au TPM. La clé TPM est non exportable et ne quitte jamais le matériel, de sorte qu'un fichier de secrets copié ne peut pas être attaqué hors ligne sur une autre machine, même avec le PIN. L'application est protégée par un PIN, renforcé avec PBKDF2-HMAC-SHA256 à 600 000 itérations, et, lorsque cela est disponible, par Windows Hello. TZUR ne stocke pas de données sensibles dans des fichiers en clair ni dans aucun mécanisme de stockage non protégé.

Verrouillage de l'application et protection contre la capture

TZUR se verrouille derrière votre PIN (et Windows Hello, lorsqu'il est activé) au démarrage et après une période d'inactivité. L'intervalle de verrouillage automatique est configurable (1 minute, 10 minutes, 1 heure ou 6 heures). L'application active également la protection contre la capture d'écran sur les écrans sensibles afin de réduire le risque de regards indiscrets et de logiciels malveillants d'enregistrement d'écran.

Modèle de confiance réseau et Electrum

TZUR communique avec des serveurs Electrum publics pour récupérer les données de la blockchain. Les serveurs Electrum ne sont pas dignes de confiance. Ils servent uniquement de fournisseurs de données. Toute la construction et la signature des transactions se déroulent localement sur votre ordinateur. TZUR n'envoie jamais de clés privées, de phrases de récupération ou de données personnelles sur le réseau. Les connexions utilisent TLS. L'intégrité des transactions est vérifiée à l'aide de preuves Merkle.

Analyses respectueuses de la vie privée

TZUR Wallet peut collecter des analyses d'utilisation anonymes afin d'améliorer l'application. Les analyses sont entièrement facultatives et peuvent être désactivées à tout moment dans les Paramètres.

Les analyses n'incluent jamais :

  • Les adresses de portefeuille ou les clés publiques
  • Les soldes des comptes ou les données UTXO
  • Les montants, destinations ou historiques des transactions
  • Les phrases de récupération ou tout matériel de clé
  • Les clés privées ou les chemins de dérivation
  • L'identité personnelle, le nom ou la localisation

TZUR Wallet n'inclut pas de SDK publicitaires, de technologies de suivi tierces ni de bibliothèques d'empreinte numérique. Nous ne vendons, ne partageons ni ne monétisons aucune donnée des utilisateurs.

Divulgation responsable

Si vous découvrez une vulnérabilité de sécurité dans TZUR Wallet, veuillez la signaler à contact@tzur.live. Nous prenons tous les signalements au sérieux et y répondrons rapidement.

Dernière mise à jour : 4/6/2026