Comment partager un mot de passe sans risque

Envoyer un mot de passe à un collègue, un client, un membre de ta famille : la pratique est tellement banale qu'on ne réfléchit plus aux risques. Pourtant, SMS, email, Slack et même WhatsApp ne sont pas adaptés. Voici un guide concret pour transmettre un mot de passe ou n'importe quel secret sans qu'il finisse dans une fuite de données.

Ce qu'il ne faut surtout PAS faire

Les bonnes méthodes par ordre de robustesse

1. Gestionnaire de mots de passe avec partage chiffré

Si les deux personnes utilisent 1Password, Bitwarden, Dashlane ou Proton Pass, ces outils proposent un partage chiffré direct. C'est la méthode la plus propre : le secret reste dans le coffre, jamais en clair dans un message, accès révocable, traçabilité.

Limite : il faut que les deux côtés aient le même outil ou un compte compatible.

2. Messagerie chiffrée de bout en bout

Signal ou Olvid sont parfaits pour les conversations durables. Active la disparition automatique des messages (5 minutes à 1 semaine) pour que le mot de passe ne traîne pas dans l'historique. Le destinataire copie le mot de passe dans son gestionnaire dès réception puis supprime le message.

3. Lien éphémère à usage unique

Pour un partage ponctuel avec quelqu'un qui n'utilise pas le même outil que toi, un lien éphémère chiffré est la solution la plus simple :

4. Téléphone vocal (oui, le téléphone)

Sous-estimé : appeler la personne et lui épeler le mot de passe à l'oral est étonnamment sûr — pas de trace écrite, pas de cache, pas de fuite serveur. Les écoutes téléphoniques existent mais visent rarement le particulier moyen. À combiner avec un mot de passe qui sera changé peu après.

5. Canal hors-bande (en personne, papier)

Si la personne est physiquement à côté de toi : montre-lui l'écran, ne tape rien. Si c'est pour un mot de passe critique (clé de chiffrement maître, code de coffre), papier remis en main propre puis détruit reste imbattable.

La technique du « secret coupé en deux »

Pour les credentials sensibles, sépare l'identifiant et le mot de passe sur deux canaux différents :

Un attaquant qui compromet un seul canal n'a pas le couple complet. C'est la même logique que la double authentification : on multiplie les barrières pour réduire le risque qu'une seule compromission suffise.

Bonnes pratiques après le partage

  1. Changement immédiat — pour un mot de passe destiné à être utilisé durablement, le destinataire le change dès la première connexion. Le secret transmis devient obsolète.
  2. Pas de réutilisation — un mot de passe transmis est plus exposé qu'un mot de passe choisi seul. Ne le réutilise jamais ailleurs.
  3. Vérification d'identité — si le canal est asynchrone (email, messagerie), confirme oralement ou via un canal séparé que le destinataire est bien le bon. Le phishing existe.
  4. Suppression de l'historique — efface le message dès que possible des deux côtés. Avec Murmure, attends 6h, le serveur s'en charge.
  5. Audit — si le mot de passe protège quelque chose de critique, vérifie les logs d'accès dans les jours qui suivent.

Cas concrets

Donner le Wi-Fi à un invité

Le réseau invité séparé est la bonne pratique. Sinon, partage le mot de passe via un QR code (la plupart des téléphones le génèrent depuis les paramètres Wi-Fi). Évite de l'écrire dans un message qui restera.

Transmettre l'accès à un compte pro à un nouveau collègue

Gestionnaire d'entreprise (1Password Business, Bitwarden Organization) avec partage d'équipe, jamais en direct. Sinon, lien éphémère + changement immédiat à la première connexion.

Donner ton code bancaire ou un secret familial

Murmure, Signal avec disparition, ou téléphone vocal. Évite absolument l'email et le SMS. Préfère un canal qui purge l'historique automatiquement.

Résumé