Comment envoyer un mot de passe de façon sécurisée

N'envoyez jamais un mot de passe en clair dans un email, un SMS ou une messagerie. Générez à la place un lien chiffré à usage unique : le destinataire l'ouvre une fois pour lire le secret, et le contenu est ensuite effacé. C'est le seul moyen de transmettre un identifiant sans en laisser une copie traînant dans une boîte mail, un historique de chat ou un journal serveur. Avec Pli Scellé, ce lien se crée en quelques secondes, sans installer quoi que ce soit.

Un email voyage rarement de façon protégée de bout en bout. Son contenu transite et se copie à plusieurs endroits : votre dossier « Envoyés », le serveur sortant, les serveurs intermédiaires, la boîte du destinataire, parfois une sauvegarde. La CNIL le rappelle : les modalités de transmission non sécurisées ne protègent pas contre l'interception, et elle recommande de chiffrer les données personnelles avant tout envoi par messagerie. Internet ne garantit pas le trajet d'un message, et un attaquant peut intercepter ce qui circule entre deux correspondants.

Le mot de passe reste aussi lisible aussi longtemps que le message existe. Six mois plus tard, il dort encore dans une conversation. Quiconque accède à l'un des deux comptes le récupère, sans effort. Le SMS ne vaut pas mieux : il passe par l'opérateur, s'affiche en clair sur l'écran de verrouillage, et survit dans l'historique du téléphone.

Les messageries d'équipe ajoutent leur propre piège. Slack et ses équivalents conservent les messages sur leurs serveurs, et un secret qui y entre se propage vite : on le copie, on le transfère, on le télécharge, il s'indexe dans la recherche. Il y a même un précédent connu d'application Slack qui journalisait des identifiants en clair. Un mot de passe collé dans un canal devient une donnée que vous ne contrôlez plus.

1. Ouvrez Pli Scellé et choisissez le partage de secret (mot de passe ou texte).

2. Collez le mot de passe. Réglez la durée de vie du lien : une expiration courte, ou une vue unique qui ferme l'accès dès la première lecture.

3. Activez le mode zero-knowledge si vous voulez le maximum : la clé de déchiffrement reste dans votre navigateur et ne touche jamais nos serveurs.

4. Récupérez le lien et envoyez-le par le canal habituel. Le lien ne contient pas le secret en clair ; sans lui, et une fois qu'il est consommé, il n'y a plus rien à lire.

Un détail qui compte : transmettez le lien et son éventuel mot de passe de protection par deux canaux différents. Le lien par email, le code par téléphone, par exemple. Si un seul canal fuite, le secret tient toujours.

Le secret est chiffré avant d'être stocké. En mode zero-knowledge, la clé reste côté client : nous ne pouvons pas lire ce que vous partagez, même si on nous le demandait. Quand le secret est protégé par un mot de passe, la clé est dérivée avec PBKDF2-SHA-256 sur 600 000 itérations, et le chiffrement utilise AES-256-GCM. En clair : forcer ce mot de passe coûte cher en temps de calcul, et le contenu chiffré ne se lit pas sans la bonne clé.

Le lien est éphémère par construction. Vous fixez une expiration (de 1 heure à 30 jours selon la gamme) ou un nombre de vues. Le seuil atteint, le contenu est purgé. Aucune copie ne subsiste de notre côté.

L'hébergement est en France, opéré par SHPV FRANCE SAS. Pas de tracking. Un partage anonyme est possible, sans créer de compte, valable 24 heures et lu une seule fois. Et pour recevoir un secret de quelqu'un d'autre, les liens de réception font le chemin inverse en toute sécurité.

Donner un accès à un prestataire sans semer le mot de passe dans une longue conversation. Transmettre un identifiant de serveur ou une clé d'API à un collègue. Confier un code à un client le temps d'une intervention. Envoyer un mot de passe Wi-Fi, des identifiants de compte, un secret de configuration. À chaque fois, la logique est la même : le secret existe le temps d'être lu, puis il disparaît, au lieu de s'accumuler dans des boîtes mail que personne ne nettoie.