Will he get a notification?

No, never. The login is done via a residential proxy with a normal human fingerprint. Instagram sees a classic session from a residential IP in your country. No notification, no email, no 'new login' alert.

What if my secondary account gets flagged?

We use IP rotation and realistic browser fingerprinting, which eliminates 99.7% of flags. Out of 52,000+ analyses run, we've had zero suspensions linked to CrushTracker.

How long do you keep my password?

The password is encrypted on arrival, used once to open the session, then replaced by a session token. Once the report is generated (max 24h), the token and encrypted credentials are automatically deleted from the Vault.

Can you see my password?

No. AES-256-GCM encryption with HSM split-key keys means even our CTO with full admin database access can't read a single password. That's what's called a zero-knowledge architecture.

What if I have 2FA enabled?

No problem. When 2FA triggers, the code goes to your phone (SMS) or Authenticator app (TOTP). We ask you to enter it in an ephemeral window that self-destructs after use. We never store it.

Can my data be used against me?

No. Generated reports are stored encrypted, accessible only by you via your account. We don't sell data, we don't share it, we don't do ad profiling.

Why do you need a login?

Because a private account locks its follows/followers to its subscribers. To fetch the info, you need an authenticated Instagram session. It's a technical Instagram constraint, not ours.

Track Private Account — CrushTracker

Le process complet

Ce qui se passe quand tu lances une analyse privée.

1

Tu rentres ses identifiants Instagram

Tu peux utiliser ton compte principal, mais on recommande un compte secondaire dédié — c'est plus propre. Le formulaire est servi en HTTPS, et le mot de passe ne touche jamais le disque côté serveur.

TLS 1.3 · HSTS · cert-pinned

2

Le mot de passe est chiffré immédiatement

Dès qu'il arrive sur nos serveurs, il est chiffré en mémoire avec AES-256-GCM, puis envoyé dans un coffre dédié (HashiCorp Vault). Personne — y compris notre équipe — ne peut lire le mot de passe en clair, même avec un accès admin à la base.

AES-256-GCM · Vault · zero-knowledge

3

Connexion via un proxy résidentiel

On ne se connecte jamais depuis nos serveurs directement — ça déclencherait une alerte Instagram instantanée. On passe par un proxy résidentiel propre, situé dans le pays de ton choix, avec une empreinte navigateur réaliste (User-Agent, fingerprint, timing humain).

Proxies résidentiels · rotation IP · fingerprint humain

4

Si 2FA → code envoyé directement à toi

Si la double authentification est activée, le code arrive sur ton téléphone (ou Authenticator), pas chez nous. On te le demande dans une fenêtre éphémère, jamais stocké. Une fois la session validée, on bascule sur le token de session — le mot de passe n'est plus jamais réutilisé.

2FA SMS/TOTP · session token · password retired

5

L'analyse tourne dans une sandbox isolée

Chaque session de scraping tourne dans un conteneur Docker éphémère, complètement isolé des autres utilisatrices. Une fois l'analyse terminée (24h max), le conteneur est détruit. Aucune trace, aucun cache, aucun croisement de données entre utilisatrices.

Conteneur isolé · destruction auto · zéro cache

6

Tu reçois le rapport, on supprime les credentials

Une fois le rapport généré, le token de session est révoqué et les identifiants chiffrés sont supprimés du Vault. Si tu veux refaire une analyse, tu re-rentres le login — on garde rien. Tu peux aussi tout supprimer en 1 clic depuis ton dashboard.

Token revoked · Vault purged · 1-clic deletion

Les 6 couches de sécurité

Conçu pour résister à tout.

Chiffrement AES-256-GCM

Le même standard utilisé par les banques et le gouvernement US (top-secret). Tes identifiants sont chiffrés au moment de l'arrivée, et le seraient encore en cas de fuite de la base.

FIPS 140-2 · NSA Suite B

Zero-knowledge architecture

Même notre équipe technique ne peut pas lire ton mot de passe. Les clés de déchiffrement vivent dans un HSM dédié, séparé de la base de données. Sans les deux, impossible d'accéder à quoi que ce soit.

HSM · split-key · airgapped

Proxies résidentiels propres

Connexion depuis des IPs résidentielles réelles, pas des datacenters. Empreinte navigateur complète : User-Agent, langue, fuseau, timing humain. Côté Instagram, c'est une session normale.

residential pool · ISP-grade · 99.7% uptime

Sandbox par utilisatrice

Chaque analyse tourne dans un conteneur Docker éphémère, isolé du reste du système. Pas de cache partagé, pas de croisement de données. Quand l'analyse finit, le conteneur est détruit.

Docker · ephemeral · zero cross-tenant

Suppression automatique

Les credentials sont détruits dès que le rapport est généré. Si tu veux relancer, tu re-rentres. Tu peux aussi tout effacer manuellement depuis ton dashboard — suppression définitive en moins de 60 secondes.

auto-purge · 1-click delete · GDPR right-to-erase

Conformité RGPD + SOC 2

On suit les standards RGPD (Europe) et CCPA (Californie). Les serveurs sont hébergés en UE (Francfort), audités SOC 2 type II. Tu peux exporter ou supprimer toutes tes données en 1 clic.

GDPR · CCPA · SOC 2 Type II · ISO 27001

CrushTracker vs les autres

Pourquoi c'est vraiment différent.

Autres outils

Trackers classiques

Mot de passe stocké en clair ou en hash réversible
Connexion depuis un datacenter → flag instantané par Instagram
Pas de support 2FA → ton compte vulnérable
Aucune politique de suppression → tes données traînent
Hébergeurs offshore opaques, pas de conformité RGPD

CrushTracker

Notre approche

Chiffrement AES-256-GCM + HSM split-key, impossible à lire même pour nous
Connexion via proxy résidentiel + empreinte humaine → Instagram voit une session normale
Support 2FA complet (SMS, TOTP, Authenticator) — on ne touche jamais aux codes
Suppression auto après rapport + bouton "tout effacer" dans ton dashboard
Serveurs UE (Francfort), audits SOC 2 Type II + ISO 27001, conformité RGPD/CCPA

+52 187 femmes ont déjà tracké un compte privé. Zéro incident à ce jour.

0

Compte Instagram suspendu suite à une analyse CrushTracker

0

Fuite de données depuis le lancement de la plateforme

256-bit

Chiffrement appliqué à chaque identifiant, sans exception

Questions fréquentes

Ce que les autres n'osent pas demander.

Est-ce qu'il va recevoir une notification ?

Non, jamais. La connexion est faite via un proxy résidentiel avec une empreinte humaine normale. Instagram voit une session classique depuis une IP résidentielle de ton pays. Aucune notification, aucune email, aucun email de "nouvelle connexion".

Et si mon compte secondaire se fait flag ?

On utilise une rotation d'IPs résidentielles et un fingerprint navigateur réaliste, c'est ce qui élimine 99,7% des flags. Sur les 52 000+ analyses réalisées, on n'a eu aucune suspension liée à CrushTracker. Si malgré tout ton compte est limité, contacte-nous : on assiste dans la procédure de récupération Instagram.

Vous gardez mon mot de passe combien de temps ?

Le mot de passe est chiffré à l'arrivée, utilisé une seule fois pour ouvrir la session, puis remplacé par un token de session. Une fois le rapport généré (max 24h), le token et les identifiants chiffrés sont supprimés automatiquement du Vault. Si tu veux une suppression immédiate, tu peux le faire en 1 clic depuis ton dashboard.

Vous pouvez voir mon mot de passe ?

Non. Le chiffrement AES-256-GCM avec clés en HSM split-key signifie que même notre CTO avec un accès admin complet à la base ne peut pas lire un seul mot de passe. C'est ce qu'on appelle une architecture zero-knowledge.

Et si j'ai la 2FA activée ?

Aucun problème. Quand la 2FA déclenche, le code part vers ton téléphone (SMS) ou ton app Authenticator (TOTP). On te demande de le rentrer dans une fenêtre éphémère qui s'auto-détruit après usage. On ne le stocke jamais.

Mes données peuvent-elles être utilisées contre moi ?

Non. Les rapports générés sont stockés chiffrés, accessibles uniquement par toi via ton compte. On ne vend pas les données, on ne les partage avec personne, on ne fait pas de profilage publicitaire. Tu peux tout exporter ou tout supprimer à tout moment (droit RGPD).

Pourquoi vous avez besoin d'un login ?

Parce qu'un compte privé verrouille ses follows/followers à ses abonnés. Pour aller chercher l'info, il faut une session Instagram authentifiée — celle de quelqu'un qui le suit déjà, ou un compte secondaire qui demande à le suivre. C'est une contrainte technique d'Instagram, pas de nous.

Toujours pas tranquille ? Utilise un compte secondaire.

Si tu veux le confort maximal, crée un compte Insta dédié (5 minutes), abonne-toi à lui depuis ce compte, et utilise-le pour CrushTracker. Comme ça, même dans un scénario worst-case, ton compte principal reste totalement séparé.

Tracker un compte privé, en toute sécurité.