Chiffré sur cet appareil, avant tout envoi. Choisis un code — dans la vraie appli, ce serait ton visage ou ton doigt.
Voici tout ce qui nous parviendrait. Ouvre « voir ce que le serveur reçoit » : c'est illisible. On ne peut rien en faire, ni nous, ni un pirate, ni un juge.
Le bon code déchiffre. Un mauvais code ne peut rien ouvrir — essaie, pour voir.
S'il l'oblige à ouvrir devant lui, un second code montre un coffre vide. « Regarde, il n'y a rien » — et c'est vrai à l'écran.
Représenté (pas encore réel ici) : le déverrouillage par visage/doigt (ce serait la fonction du téléphone, pas un code tapé) ; la clé en morceaux répartie entre elle, un proche et l'association (récupération) ; la dérivation par Argon2id (ici PBKDF2). La maquette du parcours reste dans maquette-coffre.html. Cette page-ci ne prouve qu'une chose, mais en vrai : on ne sait pas lire ce qu'on garde.