Vie privée

Zero-Knowledge Proof : prouver sans révéler le secret

Illustration: Zero-Knowledge Proof : prouver sans révéler le secret
Mis à jour avril 2026 5 min de lecture 0

Chaque fois que vous devez prouver votre âge en ligne, vous donnez votre date de naissance complète. Parfois une photo de votre carte d’identité. Vous révélez bien plus que ce que le service a besoin de savoir — il a besoin de savoir si vous avez 18 ans, pas de connaître votre date de naissance exacte, ni votre adresse, ni votre numéro de permis de conduire.

Les Zero-Knowledge Proofs résolvent ce problème avec de la cryptographie. Vous pouvez prouver que vous avez plus de 18 ans sans révéler votre date de naissance. Prouver que vous connaissez un mot de passe sans l’envoyer. Prouver que vous avez réussi un examen sans révéler votre dossier.

C’est contre-intuitif. Mais c’est mathématiquement solide.

L’analogie de la caverne d’Ali Baba

L’explication classique sans maths.

Imaginez une caverne en forme d’anneau avec une porte secrète au milieu. La porte s’ouvre seulement avec un mot de passe secret. Les deux chemins — gauche et droite — contournent la porte.

Peggy dit à Victor qu’elle connaît le mot de passe. Victor veut la croire, mais sans qu’elle lui révèle le mot de passe.

Le protocole :

  1. Victor reste à l’entrée. Peggy entre dans la caverne et prend soit le chemin gauche, soit le chemin droit — Victor ne voit pas lequel.
  2. Victor crie : “Ressors par le côté GAUCHE” (ou DROIT, aléatoirement).
  3. Si Peggy connaît le mot de passe, elle peut toujours sortir du bon côté — en passant par la porte si nécessaire.
  4. Si elle ne connaît pas le mot de passe, elle a 50% de chances de sortir du bon côté (si elle était déjà de ce côté).

En répétant 30 fois, la probabilité que quelqu’un sans le mot de passe réussisse tous les rounds devient de 1 sur un milliard. Peggy a prouvé à Victor qu’elle connaît le mot de passe, sans jamais lui dire ce que c’est.

C’est l’essence d’un ZKP interactif.

Comment ça fonctionne techniquement

Un Zero-Knowledge Proof a trois propriétés mathématiques :

Complétude : si l’affirmation est vraie, un prouveur honnête peut toujours convaincre le vérificateur.

Solidité : si l’affirmation est fausse, un prouveur malhonnête ne peut convaincre le vérificateur qu’avec une probabilité négligeable.

Zéro connaissance : le vérificateur n’apprend rien de plus que le fait que l’affirmation est vraie.

Les ZKP modernes (zk-SNARKs, zk-STARKs) sont non-interactifs — la preuve peut être générée une fois et vérifiée par n’importe qui, sans l’échange de la caverne d’Ali Baba. C’est ce qui les rend pratiques pour les applications réelles.

Applications réelles aujourd’hui

Signal — Private Contact Discovery

Quand Signal vérifie quels contacts dans votre carnet d’adresses utilisent aussi Signal, il a un problème : il ne veut pas envoyer votre liste de contacts au serveur (ce serait une fuite de données massive sur vos relations). Mais il a besoin de faire une comparaison.

Signal utilise un protocole ZKP pour faire cette comparaison : votre liste de contacts est comparée à la base de données de Signal de façon à ce que Signal ne voit jamais votre liste en clair, et vous ne voyez jamais la base de données Signal. Seuls les matches sont révélés.

Zcash — transactions financières privées

Zcash est une cryptomonnaie qui utilise zk-SNARKs pour permettre des transactions dont le montant et les adresses restent privés — tout en permettant à quiconque de vérifier que la transaction est valide (pas de double dépense, solde correct).

C’est la différence avec Bitcoin : sur Bitcoin, toutes les transactions sont publiques. Sur Zcash avec les “shielded transactions”, la preuve cryptographique confirme la validité sans révéler les détails.

Identité numérique et Verifiable Credentials

La combinaison SSI + ZKP est l’avenir de la vérification d’identité en ligne :

  • Un gouvernement signe une attestation : “Cette personne a plus de 18 ans”
  • Vous générez une preuve ZKP que vous avez cette attestation signée
  • Le vérificateur confirme la preuve — sans voir qui vous êtes, ni votre date de naissance

Aucune base de données centrale. Aucune donnée personnelle transmise. Juste une preuve cryptographique.

Authentification sans mot de passe

Au lieu d’envoyer votre mot de passe (même haché) à un serveur, vous générez une preuve ZKP que vous connaissez le mot de passe. Le serveur voit seulement “cette personne connaît le mot de passe” — pas le mot de passe lui-même.

Résultat : même si la base de données du serveur est compromise, les attaquants n’ont que des preuves ZKP — inutilisables sans votre clé privée.

Où on en est en 2026

Les ZKP sont passés de la cryptographie académique au déploiement en production en moins d’une décennie.

zk-Rollups sur Ethereum : la technologie qui permet à Ethereum de passer à l’échelle — des milliers de transactions compressées en une seule preuve ZKP vérifiable sur la blockchain principale. Déployé en production depuis 2021-2022 (zkSync, Starknet, Polygon zkEVM).

Adoption gouvernementale : des projets d’identité numérique en UE et en Asie expérimentent les ZKP pour les Verifiable Credentials. Le Canada suit avec son projet d’identité numérique fédérale.

Limites actuelles : générer une preuve ZKP est computationnellement coûteux. Sur des appareils mobiles, la génération peut prendre quelques secondes à quelques minutes selon la complexité. C’est en train de s’améliorer rapidement.

Ce que vous pouvez faire maintenant

  1. Utilisez Signal — qui implémente déjà les ZKP pour la découverte de contacts. Vous bénéficiez de cette protection sans rien avoir à configurer.
  2. Suivez les projets d’identité numérique du Québec et du Canada — les ZKP joueront un rôle dans comment vous prouverez votre identité en ligne dans les prochaines années
  3. Pour les développeurs : explorez les bibliothèques como snarkjs (JavaScript), bellman (Rust), ou libsnark (C++) si vous voulez implémenter des ZKP dans vos applications

Les Zero-Knowledge Proofs ne sont pas une abstraction académique. Ils tournent en production dans Signal, Zcash, et les réseaux blockchain les plus importants.

Leur adoption pour l’identité numérique — prouver un attribut sans révéler l’identité — changera fondamentalement comment fonctionne la vérification en ligne.

Pour comprendre comment le SSI et les ZKP s’assemblent dans une vision cohérente de l’identité numérique, lisez notre article sur la Self-Sovereign Identity.

Sequr — Agent certifié québécois

À lire aussi :

Khalid Mokrini

Khalid Mokrini

Cyber Security Specialist

Fondateur d'Informatique Ste-Foy (depuis 2014) et de Sequr.ca. Certifié en cybersécurité des réseaux informatiques par l'École Polytechnique de Montréal. Plus de 1 000 clients servis au Québec.

540+ avis (4.7/5) Québec, Canada

Articles connexes

Vie privée

Dark Web 2026 : ce que c'est vraiment et les dangers

Guide dark web en français : deep web vs dark web, accéder avec Tor, vrais risques et mythes démystifiés.
Vie privée

Zero-Knowledge Storage : le serveur ne voit pas vos données

Google a scanné des photos et transmis à la police. Proton Drive et Tresorit ne peuvent pas lire vos fichiers.
Vie privée

Voiture connectée : Tesla, Hyundai, Ford vous espionnent

Données collectées par Tesla, Hyundai et Ford — ce qui est enregistré, partagé, et comment limiter ça.

Consultation personnalisée

Votre appareil est-il vraiment protégé ?

Un expert certifié analyse votre situation et vous propose un plan d'action concret, adapté à votre appareil et vos habitudes.

Demander une consultation

100 % à distance — Québec