Oui, et c'est voulu. Tout le monde ne se défend pas contre les mêmes menaces, le modèle de compte est donc une échelle plutôt qu'un dogme unique. À chaque barreau, tes notes restent chiffrées de bout en bout ; ce qui change, c'est qui détient la clé et ce que nous savons de toi.
Le bout confortable : connecte-toi avec Google, Apple ou GitHub et choisis "Keep it simple" quand on te le propose. Nous conservons ta phrase de récupération pour toi, chiffrée au repos sur notre serveur : chaque appareil se connecte avec ton seul compte fournisseur, et il n'y a rien à sauvegarder ni à perdre. Le prix honnête : nous connaissons l'e-mail derrière ton compte fournisseur, et un serveur totalement compromis pourrait en principe exposer la clé conservée. Si ta menace réaliste est de perdre tes propres identifiants plutôt qu'une intrusion ciblée, l'échange est raisonnable.
Le milieu : connecte-toi avec un fournisseur mais choisis "Maximum privacy". Ta phrase ne touche jamais nos serveurs et le chiffrement est entièrement zero-knowledge ; un nouvel appareil demande la phrase ou un scan QR depuis un appareil déjà connecté. Nous connaissons forcément encore ton e-mail fournisseur, mais nous ne pourrions pas lire une seule note, même sous contrainte.
Le bout privé : ignore les fournisseurs et n'utilise que la phrase de 12 mots. Pas d'e-mail, pas de nom, pas d'identité - et associé à un achat Pro anonyme, même payer ne laisse ton nom nulle part. En échange, la garde de la clé t'appartient entièrement : perds la phrase sans plus aucun appareil connecté, et personne ne peut aider.
Le cliquet ne tourne que dans un sens : tu peux passer à tout moment de la garde par nos soins à l'auto-garde (nous supprimons notre copie de ta phrase), mais il n'existe aucun retour discret en arrière. Et chaque barreau accepte les protections locales en plus : verrouillage de l'appli par PIN, déverrouillage biométrique et protection par note.