Crypt3TR od TBDwarf

Crypt3TR est une extension Firefox open source qui permet de chiffrer et déchiffrer du texte directement dans votre navigateur, sur pratiquement n’importe quel site : webmails, forums, réseaux sociaux, messageries web, wikis, formulaires…

🎯 Objectif : rendre le chiffrement de messages simple, rapide et accessible, sans complexité ni gestion de clés publiques/privées.

✨ Fonctionnalités principales :

• 🔒 Chiffrement / déchiffrement 100 % côté client
  -- Tout se passe dans votre navigateur, sans serveur intermédiaire.
  -- Les pages ne voient jamais le texte en clair : uniquement des blocs [[crypt3tr]]…[[/crypt3tr]].
• 🖱️ Menu contextuel “Crypt3TR” unifié
  -- Clic droit dans une zone de texte → Chiffrement Crypt3TR.
  -- Ouvre un éditeur sécurisé (dans une iframe de l’extension) pour écrire ou ré‑éditer le message.
  -- Au retour, seul le texte chiffré est inséré dans la page (jamais le clair).
• 👁️ Affichage déchiffré via un viewer sécurisé
  -- Les blocs chiffrés dans la page sont automatiquement remplacés par un viewer dédié (iframe de l’extension).
  -- Effet visuel de “dissolution” du base64 vers le texte en clair.
  -- Le texte déchiffré reste confiné dans l’iframe de l’extension, hors du DOM de la page.
• 🌐 Whitelist de domaines
  -- Limitez l’extension aux sites que vous choisissez (webmail, chat, forum, etc.).
• 📝 Support de nombreux champs
  -- <textarea>
  -- <input> (text, email, etc.)
  -- Éléments contentEditable (éditeurs riches)
  -- Certains contenus en Shadow DOM (webapps modernes)
  -- Intégration spécifique pour Discord, WhatsApp Web, Gmail, etc.
• 🌍 Interface bilingue FR / EN
• 🧩 Aucune collecte de données, pas de tracking
  -- Pas de compte, pas d’inscription, pas de serveur : tout est 100 % local.

🧰 Cas d’usage typiques :

• Protéger le contenu de vos emails sur des webmails
• Envoyer des messages confidentiels via un forum ou un chat web
• Chiffrer des notes sensibles avant de les poster ou de les stocker en ligne
• Partager un mot de passe ou un code d’accès de manière plus sûre

✅ Pour que le destinataire puisse lire vos messages chiffrés, il lui suffit de :

1. Installer l’extension Crypt3TR
2. Saisir le même mot de passe dans l’extension
3. Ouvrir la page contenant le message : le viewer affiche automatiquement la version déchiffrée (si le domaine est autorisé).

🛡️ Sécurité, DOM & fonctionnement interne :

Protection contre la lecture du DOM

• Le texte en clair ne transite plus dans le DOM de la page :
  -- il n’apparaît pas dans les <input>, <textarea> ou contentEditable sous forme lisible,
  -- il n’est pas visible via “Inspecter l’élément” ou via des scripts tiers lisant le DOM.
• L’édition se fait dans un éditeur dédié (iframe de l’extension), isolé du contexte de la page.
• La lecture se fait dans un viewer dédié (autre iframe de l’extension).
• Un script malveillant injecté dans la page (XSS, script tiers, autre extension) ne voit que :
  -- des blocs [[crypt3tr]]BASE64[[/crypt3tr]] dans le DOM,
  -- ou l’iframe en lecture, mais sans accès au contenu interne, grâce à l’isolation des extensions.

Chiffrement des messages

• Algorithme : AES‑256‑GCM
• Dérivation de clé : PBKDF2‑SHA256, 500 000 itérations, avec sel aléatoire 128 bits
• IV : 96 bits aléatoires

Le texte est chiffré avec une clé dérivée de votre mot de passe. Toute personne ayant le même mot de passe et l’extension peut déchiffrer ces blocs.

Stockage sécurisé du mot de passe

• Votre mot de passe n’est jamais stocké en clair.
• Il est chiffré avec une clé maîtresse AES‑GCM non extractible, générée et stockée dans l’extension (IndexedDB).
• Cette clé maîtresse n’est jamais exportée et reste dans le contexte sécurisé de l’extension.
• Le mot de passe n’est utilisé qu’en mémoire pour chiffrer/déchiffrer vos messages.

⚠️ Limites & modèle de menace :

Crypt3TR ne protège pas contre :

• les keyloggers, malwares ou un système d’exploitation compromis,
• les autres extensions malveillantes capables de lire directement vos frappes clavier ou de casser l’isolation d’extension (modèle de menace très élevé),

La sécurité réelle dépend aussi de :
- la qualité du mot de passe (long, unique, complexe),
- la fiabilité de la machine (PC non infecté, navigateur sain).

✅ Bonnes pratiques recommandées :

• Utiliser un mot de passe long et unique (20+ caractères, lettres + chiffres + symboles).
• Partager ce mot de passe via un canal sécurisé (Signal, rencontre physique, etc.).
• Restreindre la whitelist aux sites où vous avez réellement besoin de chiffrement.
• Éviter d’utiliser Crypt3TR sur des machines publiques ou non fiables.

🧑‍💻 Code source & contributions :

• 🔓 Code source : <https://github.com/TBDwarf/Crypt3TR>
• 📜 Licence : Apache‑2.0

Crypt3TR vise à offrir un chiffrement simple, pratique et transparent pour vos messages du quotidien sur le web, tout en restant respectueux de votre vie privée, et en vous protégeant au maximum des scripts qui lisent le DOM des pages.