{ freetool24 }
Security Tools

Sécurité des mots de passe dans le navigateur : générer, chiffrer, hacher et tester — sans serveur

Un guide pratique sur les outils de mots de passe et de chiffrement dans le navigateur — générez des mots de passe robustes, chiffrez du texte avec AES-256, hachez des mots de passe avec PBKDF2 et vérifiez instantanément la force de vos mots de passe.

7 min de lecture

Cadenas sur un clavier d'ordinateur portable représentant la sécurité numérique

Tout développeur ou utilisateur soucieux de la sécurité a tôt ou tard besoin des mêmes outils : générer un mot de passe robuste, chiffrer un texte sensible, hacher un mot de passe pour le stockage ou vérifier qu'un hachage correspond. Cela nécessitait autrefois d'installer OpenSSL ou une application dédiée. Aujourd'hui, la Web Crypto API est suffisamment puissante pour tout faire directement dans le navigateur — sans aucun aller-retour vers un serveur et sans que vos données quittent votre appareil.

Voici un tour d'horizon des outils essentiels et de la manière de les utiliser efficacement.

1. Générateur de mots de passe : la bonne façon de créer des mots de passe

Les humains sont très mauvais pour créer des mots de passe aléatoires. Nous utilisons inconsciemment des schémas — des mots du dictionnaire, des prénoms, des années, des suites de touches comme qwerty123. Un vrai générateur de mots de passe aléatoires évite tout cela.

Notre Générateur de mots de passe utilise crypto.getRandomValues() — le générateur de nombres aléatoires cryptographiquement sécurisé intégré dans tous les navigateurs modernes. Ce qui le différencie de Math.random() :

  • Math.random() est une séquence pseudo-aléatoire — prévisible si on connaît la graine
  • crypto.getRandomValues() puise dans l'entropie au niveau du système d'exploitation — véritablement imprévisible

Paramètres recommandés :

Cas d'usage Longueur Options
Connexion à un site web 16+ Majuscules, minuscules, chiffres, symboles
Mot de passe de base de données 24+ Tous les jeux de caractères
Phrase secrète de clé de chiffrement 32+ Tous les jeux de caractères
PIN (déverrouillage d'appareil) 8+ Chiffres uniquement

Ce qu'il faut éviter :

  • Les mots de passe de moins de 12 caractères (cassables par force brute avec des GPU modernes)
  • Les mots de passe composés uniquement de symboles (rejetés par de nombreux services)
  • Les mots de passe déjà utilisés ailleurs

2. Vérificateur de force de mot de passe : savoir avant de valider

Avant de définir un mot de passe — ou lors de l'audit de mots de passe existants — passez-le dans notre Vérificateur de force de mot de passe. Il évalue :

  • Score de longueur — plus c'est long, mieux c'est
  • Diversité des jeux de caractères — minuscules, majuscules, chiffres, symboles
  • Schémas courants — mots du dictionnaire, suites de touches, caractères répétés
  • Bits d'entropie — la mesure mathématique de la difficulté à deviner le mot de passe

Le score d'entropie est la mesure la plus fiable. Un mot de passe avec 128 bits d'entropie prendrait plus de temps que l'âge de l'univers pour être cassé par force brute avec les vitesses de calcul actuelles.

"password"          → Entropie : ~11 bits  ❌ Catastrophique
"P@ssw0rd"          → Entropie : ~18 bits  ❌ Toujours catastrophique (schéma)
"correct-horse-bat" → Entropie : ~44 bits  ⚠ Modéré (mots du dictionnaire)
"Kx9#mP2$vL7nQw"   → Entropie : ~87 bits  ✅ Robuste
"mQ3$kX9#nP7&vL2@" → Entropie : ~104 bits ✅ Très robuste

3. Chiffrement AES-256 : protégez vos textes avec un chiffrement de niveau militaire

Besoin de stocker une note secrète, de chiffrer une valeur de configuration ou d'envoyer un texte sensible via un canal non sécurisé ? Notre outil AES Chiffrer / Déchiffrer utilise AES-256-GCM — le même algorithme de chiffrement utilisé par les banques, les gouvernements et les applications de messagerie chiffrée de bout en bout.

Comment fonctionne AES-256-GCM (simplifié)

  1. Votre phrase secrète est traitée par PBKDF2 avec 200 000 itérations pour dériver une clé de 256 bits
  2. Un IV (vecteur d'initialisation) aléatoire est généré à chaque chiffrement — garantissant que le même texte en clair produit un résultat différent à chaque fois
  3. Le texte en clair est chiffré et un tag d'authentification est généré — permettant de détecter toute altération
  4. La sortie est encodée en base64 : IV + tag + texte chiffré
Texte en clair : "API_KEY=sk_live_abc123"
Phrase secrète : "ma-phrase-secrète-robuste"
           ↓
Chiffré : "a3Fm9K2...base64...Xp7nQ=="

Propriétés de sécurité :

  • ✅ Zéro connaissance — rien n'est envoyé à un serveur
  • ✅ Chiffrement authentifié — le déchiffrement échoue si le texte chiffré a été altéré
  • ✅ Randomisation du sel + IV — la même entrée produit une sortie différente à chaque fois
  • ✅ 200 000 itérations PBKDF2 — résistant à la force brute sur la phrase secrète

Utilisations pratiques :

  • Chiffrer les valeurs de .env avant de les stocker dans une application de notes
  • Partager un mot de passe avec un collègue par e-mail ou Slack (envoyez le texte chiffré ; partagez la phrase secrète via un canal différent)
  • Chiffrer des entrées de journal ou des notes personnelles
  • Stocker des clés API dans un tableur sous forme chiffrée

4. Générateur de hachage de mot de passe : PBKDF2 pour un stockage sécurisé

Si vous développez une application qui stocke des mots de passe utilisateurs, vous ne devez jamais stocker des mots de passe en clair — ni des hachages faibles comme MD5 ou SHA-1. Notre Générateur de hachage de mot de passe utilise PBKDF2-SHA256 pour créer des hachages de mots de passe sécurisés.

Pourquoi PBKDF2 et pas MD5 ou SHA-256 ?

Hachage Temps par tentative (GPU) Itérations Verdict
MD5 0,001 ms 1 ❌ Compromis
SHA-256 0,002 ms 1 ❌ Trop rapide
PBKDF2-SHA256 200 ms+ 200 000 ✅ Approprié
bcrypt (coût 12) 300 ms+ adaptatif ✅ Approprié

L'objectif du hachage de mot de passe est de rendre chaque tentative coûteuse. Les hachages rapides sont catastrophiquement inadaptés aux mots de passe.

Format de sortie du hachage :

pbkdf2$200000$<sel>$<hachage>

Le sel est aléatoire pour chaque hachage, ce qui signifie que le même mot de passe produit un hachage différent à chaque fois — empêchant ainsi les attaques par table arc-en-ciel.

5. Générateur TOTP / 2FA : testez vos codes d'authentification

Notre Générateur TOTP / 2FA génère des mots de passe à usage unique basés sur le temps, compatibles avec Google Authenticator, Authy et toute application d'authentification conforme à la RFC 6238. Saisissez une clé secrète en Base32 et obtenez le code à 6 chiffres actuel avec un compte à rebours.

Cas d'usage :

  • Vérifier que l'implémentation TOTP de votre serveur produit les bons codes
  • Tester une configuration 2FA avant de la déployer auprès des utilisateurs
  • Générer des codes pour un secret déjà enregistré (comme méthode de secours)

Les codes TOTP changent toutes les 30 secondes, sont liés à l'heure UTC actuelle et sont mathématiquement impossibles à prédire sans la clé secrète.

6. Phrases secrètes Diceware : mémorisables et mathématiquement robustes

Notre Générateur de mots de passe Diceware crée des phrases secrètes à partir de la liste de mots de l'EFF — la même approche utilisée par les chercheurs en sécurité pour les mots de passe maîtres et les clés de chiffrement de disque.

Exemple : correct-horse-battery-staple-voyage

Pourquoi les phrases secrètes surpassent les mots de passe aléatoires pour les mots de passe maîtres :

Mot de passe Entropie Mémorabilité
Kx9#mP2$ (8 caractères) ~52 bits Très difficile
correct-horse-battery (3 mots) ~58 bits Facile
correct-horse-battery-staple (4 mots) ~77 bits Modérée
correct-horse-battery-staple-voyage (5 mots) ~96 bits Gérable

Pour un mot de passe maître de gestionnaire de mots de passe — que vous devez mémoriser et ne jamais noter — une phrase secrète Diceware de 5 mots offre le meilleur équilibre entre sécurité et mémorabilité.

Liste de contrôle de sécurité

Parcourez cette liste avant de déployer tout système d'authentification :

  1. ✅ Générez des mots de passe avec le Générateur de mots de passe — utilisez crypto.getRandomValues()
  2. ✅ Vérifiez la force des mots de passe avec le Vérificateur de force de mot de passe — visez 80+ bits d'entropie pour les comptes privilégiés
  3. ✅ Hachez les mots de passe stockés avec PBKDF2, bcrypt ou Argon2 — vérifiez le format de sortie avec le Générateur de hachage de mot de passe
  4. ✅ Chiffrez les valeurs sensibles au repos avec AES Chiffrer — utilisez AES-256-GCM, pas AES-ECB
  5. ✅ Activez la 2FA et testez les codes avec le Générateur TOTP
  6. ✅ Pour les mots de passe maîtres, utilisez le Générateur Diceware — 5 mots minimum

Le point essentiel à retenir : chaque outil de cette liste s'exécute entièrement dans votre navigateur. Vos mots de passe, textes en clair et hachages ne quittent jamais votre appareil. Ce n'est pas une fonctionnalité — c'est le standard minimal acceptable pour tout outil de sécurité.

Retour à tous les articlesParcourir les outils