Comment partager un mot de passe sans risque
Envoyer un mot de passe à un collègue, un client, un membre de ta famille : la pratique est tellement banale qu'on ne réfléchit plus aux risques. Pourtant, SMS, email, Slack et même WhatsApp ne sont pas adaptés. Voici un guide concret pour transmettre un mot de passe ou n'importe quel secret sans qu'il finisse dans une fuite de données.
Ce qu'il ne faut surtout PAS faire
- SMS — stocké en clair chez ton opérateur, sauvegardé sur iCloud/Google, lisible si quelqu'un ouvre ton téléphone. Aucun chiffrement de bout en bout.
- Email classique — passe par plusieurs serveurs, indexé par Gmail/Outlook, archivé indéfiniment. Une fuite Google = ton mot de passe public.
- Slack, Teams, Discord — l'admin de l'espace de travail peut le voir, les logs sont conservés des années, les sauvegardes le sont aussi.
- Post-it sur l'écran — classique mais redoutable, surtout en open space.
- Document partagé Google Drive / Dropbox — chiffré en transit, mais lisible par le fournisseur et par toute personne ayant le lien.
- WhatsApp avec sauvegarde cloud activée — la sauvegarde casse le E2EE chez Google/Apple.
Les bonnes méthodes par ordre de robustesse
1. Gestionnaire de mots de passe avec partage chiffré
Si les deux personnes utilisent 1Password, Bitwarden, Dashlane ou Proton Pass, ces outils proposent un partage chiffré direct. C'est la méthode la plus propre : le secret reste dans le coffre, jamais en clair dans un message, accès révocable, traçabilité.
Limite : il faut que les deux côtés aient le même outil ou un compte compatible.
2. Messagerie chiffrée de bout en bout
Signal ou Olvid sont parfaits pour les conversations durables. Active la disparition automatique des messages (5 minutes à 1 semaine) pour que le mot de passe ne traîne pas dans l'historique. Le destinataire copie le mot de passe dans son gestionnaire dès réception puis supprime le message.
3. Lien éphémère à usage unique
Pour un partage ponctuel avec quelqu'un qui n'utilise pas le même outil que toi, un lien éphémère chiffré est la solution la plus simple :
- Murmure — chat web chiffré E2E à deux, accessible en un lien, historique purgé en 6h. Idéal pour partager un mot de passe + recevoir confirmation.
- Yopass, PrivateBin, OnionShare — partage de note auto-détruite après lecture.
- 1Password Share / Bitwarden Send — fonctionne même si le destinataire n'a pas de compte.
4. Téléphone vocal (oui, le téléphone)
Sous-estimé : appeler la personne et lui épeler le mot de passe à l'oral est étonnamment sûr — pas de trace écrite, pas de cache, pas de fuite serveur. Les écoutes téléphoniques existent mais visent rarement le particulier moyen. À combiner avec un mot de passe qui sera changé peu après.
5. Canal hors-bande (en personne, papier)
Si la personne est physiquement à côté de toi : montre-lui l'écran, ne tape rien. Si c'est pour un mot de passe critique (clé de chiffrement maître, code de coffre), papier remis en main propre puis détruit reste imbattable.
La technique du « secret coupé en deux »
Pour les credentials sensibles, sépare l'identifiant et le mot de passe sur deux canaux différents :
- Identifiant par email professionnel
- Mot de passe par Signal ou Murmure
Un attaquant qui compromet un seul canal n'a pas le couple complet. C'est la même logique que la double authentification : on multiplie les barrières pour réduire le risque qu'une seule compromission suffise.
Bonnes pratiques après le partage
- Changement immédiat — pour un mot de passe destiné à être utilisé durablement, le destinataire le change dès la première connexion. Le secret transmis devient obsolète.
- Pas de réutilisation — un mot de passe transmis est plus exposé qu'un mot de passe choisi seul. Ne le réutilise jamais ailleurs.
- Vérification d'identité — si le canal est asynchrone (email, messagerie), confirme oralement ou via un canal séparé que le destinataire est bien le bon. Le phishing existe.
- Suppression de l'historique — efface le message dès que possible des deux côtés. Avec Murmure, attends 6h, le serveur s'en charge.
- Audit — si le mot de passe protège quelque chose de critique, vérifie les logs d'accès dans les jours qui suivent.
Cas concrets
Donner le Wi-Fi à un invité
Le réseau invité séparé est la bonne pratique. Sinon, partage le mot de passe via un QR code (la plupart des téléphones le génèrent depuis les paramètres Wi-Fi). Évite de l'écrire dans un message qui restera.
Transmettre l'accès à un compte pro à un nouveau collègue
Gestionnaire d'entreprise (1Password Business, Bitwarden Organization) avec partage d'équipe, jamais en direct. Sinon, lien éphémère + changement immédiat à la première connexion.
Donner ton code bancaire ou un secret familial
Murmure, Signal avec disparition, ou téléphone vocal. Évite absolument l'email et le SMS. Préfère un canal qui purge l'historique automatiquement.
Résumé
- ❌ SMS, email, Slack, Drive partagé, Post-it
- ✅ Gestionnaire de mots de passe avec partage chiffré
- ✅ Signal ou Olvid avec disparition activée
- ✅ Lien éphémère (Murmure, Yopass, 1Password Share)
- ✅ Vocal au téléphone, en personne
- 🔑 Toujours suivi d'un changement immédiat pour les credentials durables