Pourquoi Inner Gallery fonctionne sans serveur
Inner Gallery n'a pas de backend, pas de comptes. Les photos sont chiffrées sur l'appareil avec synchronisation iCloud chiffrée de bout en bout optionnelle. Pourquoi c'est un choix d'architecture délibéré et ce que ça implique pour la vie privée.
Inner Gallery n'a pas de serveur parce qu'il n'en a pas besoin. Les photos sont chiffrées sur l'appareil avec CryptoKit et stockées localement. Avec la v1.2.0, la synchronisation iCloud chiffrée de bout en bout optionnelle permet de sauvegarder entre appareils — mais Jungle Labs ne détient jamais vos clés de déchiffrement. Pas de serveur signifie pas de fuites de données, pas de comptes, pas de coûts récurrents, et aucune raison de facturer un abonnement.
La plupart des apps ont des serveurs. Les serveurs stockent vos données, gèrent votre compte, traitent les paiements, envoient des notifications et collectent des analytics. Ils sont si omniprésents qu'une app « sans serveur » semble incomplète.
Inner Gallery est conçu autour d'une question : et si le serveur était le problème ?
Ce que fait un serveur dans une app coffre-fort classique
Dans la plupart des apps coffre-fort photo, le serveur remplit plusieurs rôles :
- Gestion des comptes : créer un compte, se connecter, récupérer son mot de passe. Le serveur stocke les identifiants et gère l'authentification.
- Stockage des photos : vos photos sont uploadées vers le cloud de l'entreprise. Le serveur les stocke, parfois chiffrées avec des clés que l'entreprise détient.
- Traitement des paiements : gestion des abonnements, validation des reçus, vérification des droits.
- Analytics : suivi d'utilisation, données comportementales, rapports de crash. C'est là qu'interviennent les SDK comme Amplitude, Firebase et Facebook.
- Synchronisation : accès multi-appareils aux photos via le serveur.
Chacun de ces éléments crée une dépendance — et un point potentiel de défaillance ou d'exploitation.
Le problème de chaque fonction serveur
Les comptes impliquent la récupération de mot de passe, qui implique l'accès aux clés
Si une app coffre-fort propose la récupération « mot de passe oublié », quelqu'un — l'entreprise, leur serveur, un agent de support — peut réinitialiser vos identifiants et accéder à vos données. Le vrai chiffrement de bout en bout est incompatible avec la récupération de mot de passe. La clé de chiffrement doit être dérivée de quelque chose que seul l'utilisateur connaît. Si l'entreprise peut la réinitialiser, elle détient une clé.
Le stockage cloud signifie une surface d'attaque
Chaque serveur stockant des données utilisateur est une cible. Les fuites de données en 2024 ont affecté des milliards d'enregistrements dans tous les secteurs. Une app coffre-fort stockant des photos sur un serveur crée une cible centralisée — des millions de photos privées au même endroit.
Le stockage cloud signifie aussi que l'entreprise peut accéder à vos photos, sauf si elle utilise un vrai chiffrement de bout en bout où elle ne détient pas les clés. Comme documenté dans Les apps coffre-fort photo sont-elles vraiment sûres ?, la plupart des apps coffre-fort n'implémentent pas ça.
Les analytics signifient du tracking
Si l'app inclut des SDK d'analytics, elle collecte des données comportementales. Vues d'écran, durée de session, utilisation des fonctionnalités, informations sur l'appareil. Même si les analytics ne touchent pas directement vos photos, elles construisent un profil de votre comportement à l'intérieur d'une app de « confidentialité ».
La relation de Keepsafe avec Amplitude — suivant 6 milliards d'événements et utilisant les données comportementales pour optimiser les prix — est un exemple public de comment ça fonctionne en pratique.
Les serveurs impliquent des coûts récurrents, qui impliquent des abonnements
Faire tourner des serveurs coûte de l'argent. Hébergement cloud, bande passante, stockage, ingénierie pour maintenir l'infrastructure. Ces coûts sont récurrents mensuellement, c'est pourquoi les apps dépendantes d'un serveur facturent des abonnements. Les 9,99 $/mois ne sont pas que du profit — ils financent les serveurs qui stockent vos photos.
Cela crée une incitation mal alignée : l'app a besoin que vous continuiez à payer, donc elle a besoin de garder vos photos sur ses serveurs. Arrêtez de payer, et vos photos deviennent inaccessibles — ou supprimées. Pour en savoir plus sur cette dynamique, voir Pourquoi les apps coffre-fort facturent des abonnements.
Comment Inner Gallery fonctionne sans serveur
Inner Gallery élimine le serveur entièrement. Voici ce qui remplace chaque fonction :
Pas de comptes
Pas de connexion, pas d'email, pas de mot de passe. Chaque espace dans l'app est protégé par son propre PIN, utilisé pour dériver la clé de chiffrement localement. Aucune récupération de PIN n'existe — par design. Si l'entreprise ne peut pas récupérer votre PIN, l'entreprise ne peut pas accéder à vos données.
Pas de stockage cloud de l'entreprise
Les photos sont chiffrées sur l'appareil avec ChaCha20-Poly1305 via le framework natif CryptoKit d'Apple. Les fichiers chiffrés existent dans le sandbox de l'app sur le stockage local de l'iPhone, protégés à la fois par le chiffrement du coffre-fort et la protection de fichiers iOS. Avec la fonctionnalité Cloud Sync optionnelle (v1.2.0), les données chiffrées peuvent se répliquer vers le propre compte iCloud de l'utilisateur — mais les données sont chiffrées de bout en bout avant de quitter l'appareil, et Jungle Labs n'y a jamais accès.
Pas d'analytics
Zéro SDK de tracking. Pas d'Amplitude, pas de Firebase, pas de Facebook SDK, pas d'Adjust, pas d'AppsFlyer. Il n'y a aucune télémétrie, aucun service de rapport de crash, aucun analytics d'utilisation. La seule activité réseau est la synchronisation iCloud optionnelle — initiée par l'utilisateur, chiffrée de bout en bout, et routée via le propre compte iCloud de l'utilisateur. Si une fonctionnalité est plus utilisée qu'une autre, les développeurs ne le savent pas — et c'est intentionnel.
Pas de serveur signifie pas de coûts récurrents
Sans serveurs à faire tourner, il n'y a pas de coût d'infrastructure permanent. C'est pourquoi Inner Gallery peut proposer un modèle d'achat unique : tier gratuit (2 espaces, 50 éléments), Space Pack 9,99 €, Media Pack 9,99 €, Panic PIN 9,99 €, Cloud Sync 14,99 €, App Icons 4,99 €, Pro Bundle 34,99 €, Lifetime 99,99 €. Pas d'abonnement. Une fois acheté, les fonctionnalités marchent pour toujours.
Validation des paiements
Les achats intégrés sont validés localement via le framework StoreKit d'Apple. L'iPhone gère la vérification d'achat directement avec les serveurs d'Apple — l'app elle-même n'a pas besoin de son propre serveur pour ça.
Et les sauvegardes ?
Avec la v1.2.0, ce compromis est largement résolu par le Cloud Sync optionnel — mais même sans, il existe des stratégies de sauvegarde :
- Sauvegarde chiffrée iTunes/Finder : une sauvegarde complète de l'appareil inclut les données du sandbox de l'app. Avec une sauvegarde chiffrée, les données du coffre-fort sont incluses dans la couche de chiffrement de la sauvegarde.
- Sauvegarde iCloud : si la sauvegarde iCloud est activée, les données de l'app peuvent être incluses dans la sauvegarde de l'appareil (chiffrées avec les clés iCloud, ou E2EE avec la Protection avancée des données activée).
Cloud Sync : synchronisation iCloud chiffrée de bout en bout (v1.2.0)
Inner Gallery propose désormais le Cloud Sync optionnel en achat additionnel (14,99 €). Voici comment ça fonctionne :
- Les photos sont chiffrées sur l'appareil avant de quitter le téléphone — le même chiffrement ChaCha20-Poly1305 utilisé pour le stockage local.
- Les blobs chiffrés se synchronisent vers le propre compte iCloud de l'utilisateur via CloudKit. Jungle Labs n'a aucun serveur intermédiaire et aucun accès aux données.
- L'appairage cross-device permet d'accéder au coffre-fort sur plusieurs appareils. Chaque appareil dérive sa propre clé à partir du PIN de l'espace.
- Les espaces panique ne sont jamais synchronisés — par design. Ils n'existent que sur l'appareil où ils ont été créés.
Cela donne les avantages de sauvegarde et d'accès multi-appareils du stockage cloud tout en maintenant l'architecture zero-knowledge. Le iCloud de l'utilisateur ne stocke que des données chiffrées qu'il ne peut pas lire, et Jungle Labs n'en voit jamais rien.
L'architecture en pratique
Voici ce que le design sans serveur signifie au quotidien :
| Fonctionnalité | Coffre-fort avec serveur | Inner Gallery |
|---|---|---|
| Fonctionne hors ligne | Parfois | Toujours |
| Fonctionne sans internet | Rarement | Toujours |
| Compte requis | Oui | Non |
| Récupération de mot de passe | Oui (le serveur détient la clé) | Non (par design) |
| Fuite de données possible (côté serveur) | Oui | Pas de serveur à compromettre |
| Photos accessibles au développeur | En général | Jamais |
| Abonnement requis | En général | Non |
| Analytics/tracking | En général | Aucun |
Un serveur est une responsabilité quand l'objectif est la confidentialité. Chaque fonction serveur dans une app coffre-fort — comptes, stockage, analytics, sync — peut être remplacée par une approche priorité au local qui garde l'utilisateur en contrôle total. Cloud Sync ajoute la sauvegarde et l'accès multi-appareils sans compromettre ça : les données sont chiffrées de bout en bout sur l'appareil et se synchronisent via le propre iCloud de l'utilisateur, pas un serveur Jungle Labs.
Pourquoi c'est important pour la question du chiffrement
Comme exploré dans Chiffrement de photos sur iPhone : ce que ça veut dire concrètement, la question critique en matière de chiffrement est toujours : qui détient la clé ?
Dans un coffre-fort avec serveur, la réponse est souvent « l'utilisateur et l'entreprise ». Dans Inner Gallery, la réponse est « seulement l'utilisateur ». Il n'y a pas de serveur vers lequel envoyer la clé, pas de système de compte pour la stocker, pas de mécanisme de récupération qui pourrait l'exposer.
C'est ce que l'architecture zero-knowledge signifie en pratique. Les développeurs savent que l'app existe sur votre téléphone. Ils ne savent pas ce qu'elle contient. Ils ne peuvent pas le savoir, parce que l'architecture rend ça impossible.
À lire aussi :
- Comment cacher des photos sur iPhone — toutes les méthodes comparées
- Les 5 meilleures apps coffre-fort photo — comparatif honnête des apps coffre-fort
- Le chiffrement photo expliqué — ce que signifie vraiment le stockage chiffré
- Les apps coffre-fort photo sont-elles vraiment sûres ? — ce que la plupart des apps ne vous disent pas