PrivaPass

Les fondamentaux de la sécurité des mots de passe

Comment les mots de passe sont réellement volés

La plupart des piratages de compte ne reposent pas du tout sur le déchiffrement d'un mot de passe. Des milliards de couples e-mail/mot de passe issus de fuites de données passées s'échangent en ligne, et les attaquants se contentent de les rejouer sur d'autres sites — une technique appelée credential stuffing, qui fonctionne parce que les gens réutilisent le même mot de passe partout. Les mots de passe faibles ou courants tombent eux aussi rapidement face aux outils automatisés d'attaque par dictionnaire et par force brute, tandis que les pages d'hameçonnage capturent tout ce que vous saisissez. La réutilisation est de loin le plus grand risque : un seul site compromis peut exposer tous les comptes partageant ce mot de passe.

Ce qui rend un mot de passe véritablement solide

La longueur compte davantage que les symboles. Une phrase secrète aléatoire de 16 caractères résiste des siècles aux attaques par force brute, alors qu'un court « P@ssw0rd! » cède en quelques secondes malgré son apparence complexe. Chaque compte devrait avoir son propre mot de passe unique, afin qu'une seule fuite ne se propage pas en cascade à toutes vos connexions. Évitez les noms, les dates de naissance et les mots du dictionnaire — tout ce qui peut se deviner à partir de votre vie publique. Un générateur supprime la prévisibilité humaine en produisant des chaînes à forte entropie qu'aucune personne n'aurait l'idée de choisir.

Pourquoi un coffre-fort sur l'appareil surpasse le cloud

Les gestionnaires de mots de passe dans le cloud conservent une copie chiffrée de votre coffre-fort sur leurs serveurs, ce qui en fait une cible de grande valeur — et vous devez faire confiance à leur sécurité, à leur personnel et à leur disponibilité. PrivaPass conserve votre coffre-fort chiffré en AES-256-GCM dans le stockage de votre propre navigateur : il n'y a donc aucun serveur central à compromettre, aucun compte à hameçonner et aucun abonnement à laisser expirer. Votre mot de passe maître ne quitte jamais votre appareil, et les vérifications de fuites utilisent le principe de k-anonymity, de sorte que même une requête ne révèle rien.

Qu'est-ce que PrivaPass ?

PrivaPass est un gestionnaire de mots de passe gratuit qui fonctionne entièrement dans votre navigateur : il génère, stocke et gère tous vos mots de passe avec un chiffrement AES-256-GCM — la même norme que celle sur laquelle s'appuient les banques et les gouvernements. Son générateur intégré crée des mots de passe forts et cryptographiquement aléatoires, d'une longueur personnalisable (plus de 64 caractères) et avec votre choix de majuscules, minuscules, chiffres et caractères spéciaux, pour que vous n'ayez plus jamais à inventer un mot de passe faible et réutilisé partout. On l'utilise pour donner un mot de passe unique à chaque compte, regrouper ses identifiants bancaires, e-mail et réseaux sociaux derrière un seul mot de passe maître, vérifier si un mot de passe est apparu dans une fuite de données connue, et transporter une sauvegarde chiffrée entre son ordinateur portable et son téléphone. L'intégralité de votre coffre-fort réside dans l'IndexedDB de votre navigateur et est chiffrée avant même d'être écrite sur le disque — rien n'est transmis à un serveur, pas même lors des vérifications de fuites. Aucune installation, aucune inscription, aucun abonnement. Comme toute la cryptographie s'exécute en JavaScript directement dans votre navigateur, PrivaPass fonctionne entièrement hors ligne dès que la page est chargée, et votre coffre-fort comme les mots de passe générés ne quittent jamais votre appareil.

Comment utiliser PrivaPass

  1. 1

    1. Générer un mot de passe

    Utilisez le générateur intégré pour créer des mots de passe forts et aléatoires. Personnalisez la longueur, l'inclusion de majuscules, chiffres et caractères spéciaux selon les exigences de chaque site.

  2. 2

    2. Enregistrer dans le coffre-fort

    Stockez vos mots de passe de manière sécurisée dans le coffre-fort chiffré de votre navigateur, protégé par votre mot de passe maître unique. Organisez vos entrées par site ou catégorie pour les retrouver facilement.

  3. 3

    3. Exporter et sauvegarder

    Téléchargez des sauvegardes chiffrées de votre coffre-fort pour transférer vos mots de passe entre appareils ou conserver une copie de sécurité hors ligne en cas de réinitialisation du navigateur.

Pourquoi PrivaPass est-il sûr ?

Les gestionnaires de mots de passe cloud conservent une copie chiffrée de votre coffre-fort sur leurs propres serveurs, ce qui en fait une cible de grande valeur — et vous devez faire confiance à leur sécurité, à leur personnel et à leur disponibilité. PrivaPass adopte l'approche inverse : il génère et chiffre tout dans votre navigateur en AES-256-GCM, et votre coffre-fort ne quitte jamais votre appareil. Il n'y a aucun serveur central à pirater, aucun compte à hameçonner, aucun abonnement à renouveler. Votre mot de passe maître n'est jamais stocké ni transmis nulle part — ni sur un serveur, ni en mémoire au-delà de l'instant nécessaire pour déchiffrer votre coffre-fort — si bien que toute récupération est impossible par conception, ce qui signifie aussi que personne d'autre que vous ne pourra jamais l'ouvrir. Comme tout s'exécute entièrement côté client, vous n'avez pas à nous croire sur parole : ouvrez l'onglet Réseau des outils de développement (DevTools) de votre navigateur pendant que vous générez un mot de passe ou enregistrez une entrée, et vous constaterez qu'aucune requête d'envoi n'est jamais effectuée. Pour une preuve encore plus claire, coupez votre Wi-Fi une fois la page chargée — la génération, l'enregistrement, la recherche et l'export continuent tous de fonctionner, car rien n'allait jamais vers un serveur. La seule fonction qui touche à Internet est la vérification de fuites, optionnelle, et même celle-ci utilise la méthode k-anonymity : elle n'envoie que les cinq premiers caractères de l'empreinte (hash) de votre mot de passe, afin que celui-ci reste privé pendant la recherche.

Questions fréquentes

Non. PrivaPass chiffre toutes les données avec AES-256-GCM avant de les stocker dans l'IndexedDB local de votre navigateur. Même le mot de passe maître n'est jamais enregistré nulle part — ni localement ni sur nos serveurs. Seul vous pouvez déverrouiller votre coffre-fort.
Comme le mot de passe maître n'est stocké nulle part — ni dans le navigateur ni sur nos serveurs — la récupération est techniquement impossible si vous l'oubliez. Assurez-vous de le noter dans un endroit sûr hors ligne (par exemple sur papier dans un lieu sécurisé).
Oui. Utilisez la fonction d'export pour télécharger un fichier de sauvegarde chiffré sur votre appareil, puis importez ce fichier sur l'autre appareil en utilisant le même mot de passe maître pour déchiffrer et restaurer votre coffre-fort complet.
La vérification des fuites utilise une technique de protection de la vie privée qui envoie uniquement un court fragment du résumé de votre mot de passe au service de vérification, sans jamais exposer le mot de passe réel. Ainsi, votre mot de passe en clair n'est jamais transmis sur Internet lors de la vérification.
Oui. Les données étant stockées dans l'IndexedDB locale de votre navigateur, vider les données de navigation ou réinitialiser le navigateur les supprimera définitivement. Nous recommandons vivement de créer des sauvegardes chiffrées régulières pour éviter toute perte de données.
Oui pour le hors ligne, et non pour les envois. La génération de mots de passe, l'enregistrement et la recherche d'entrées, ainsi que l'export de votre sauvegarde chiffrée s'exécutent entièrement sur votre appareil, sans aucune connexion réseau : vous pouvez donc utiliser PrivaPass dans un avion ou avec le Wi-Fi coupé dès que la page est chargée. Vos mots de passe et votre coffre-fort ne sont jamais transmis où que ce soit — vous pouvez le confirmer en ouvrant l'onglet Réseau des DevTools de votre navigateur pendant que vous travaillez, ou simplement en vous déconnectant d'Internet et en constatant que tout continue de fonctionner. La seule exception est la vérification de fuites, optionnelle, qui par conception n'envoie que les cinq premiers caractères de l'empreinte (hash) d'un mot de passe, jamais le mot de passe lui-même.
Très élevée. PrivaPass utilise le générateur de nombres aléatoires cryptographiquement sûr intégré à votre navigateur (l'API Web Crypto) — et non un raccourci logiciel prévisible — pour produire des mots de passe à forte entropie qu'aucune personne ni outil fondé sur des motifs ne pourrait deviner. Vous contrôlez la longueur (jusqu'à plus de 64 caractères) et les jeux de caractères à inclure : majuscules, minuscules, chiffres et symboles spéciaux. Comme la longueur contribue bien plus à la robustesse que la seule complexité, un mot de passe aléatoire de 16 caractères résiste déjà pendant des siècles aux attaques par force brute. Les mots de passe sont générés localement et ne sont enregistrés dans votre coffre-fort que si vous choisissez de les sauvegarder.