Comment envoyer un identifiant et un mot de passe de façon sécurisée ?
Nicolas,
Envoyer un identifiant et un mot de passe par e-mail, SMS ou messagerie instantanée est l'une des pratiques les plus risquées en matière de sécurité numérique. Ces canaux ne sont généralement pas chiffrés de bout en bout, et les messages peuvent rester accessibles dans des historiques pendant des années. En 2026, plusieurs méthodes simples et accessibles permettent de transmettre des accès de façon véritablement sécurisée.
Pourquoi ne pas envoyer un mot de passe par e-mail ou SMS ?
L'e-mail standard n'est pas chiffré de bout en bout : le contenu est lisible par les serveurs de messagerie intermédiaires, et peut être intercepté en transit. Un SMS est encore plus vulnérable — il transite en clair sur les réseaux téléphoniques et peut être intercepté par une attaque SS7 ou un IMSI-catcher.
Par ailleurs, un mot de passe envoyé par message reste dans l'historique de conversation des deux parties indéfiniment. En cas de compromission d'un compte de messagerie — ce qui arrive bien plus souvent qu'on ne le croit — tous les accès transmis par ce canal sont exposés.
Méthode 1 : les outils de partage par lien unique (one-time link)
C'est la méthode la plus simple et la plus recommandée pour les particuliers et les professionnels. Ces outils génèrent un lien unique qui ne peut être ouvert qu'une seule fois — après ouverture, le contenu est automatiquement détruit.
Les services les plus utilisés en 2026 :
- One Time Secret : service open source, gratuit, permet de partager un message chiffré via un lien à usage unique avec durée d'expiration configurable
- Password Pusher : spécialisé dans le partage de mots de passe, open source, auto-hébergeable, configurable (nombre de vues, expiration)
- Yopass : chiffrement côté client, lien unique avec expiration, disponible en version auto-hébergée
Le fonctionnement est identique pour tous : vous saisissez le mot de passe dans l'interface, le service génère un lien unique chiffré que vous transmettez au destinataire. Ce dernier ouvre le lien, lit le mot de passe, et le lien devient immédiatement invalide.
Bon à savoir : séparez toujours l'identifiant du mot de passe lors de la transmission. Envoyez l'identifiant (ou le nom du service) par un canal classique (e-mail, message), et transmettez uniquement le mot de passe via le lien unique. Ainsi, même si le lien est intercepté, il n'est pas exploitable sans connaître le compte auquel il est associé.
Méthode 2 : un gestionnaire de mots de passe avec partage intégré
Les gestionnaires de mots de passe modernes proposent des fonctionnalités de partage sécurisé intégrées, idéales pour un usage professionnel ou en équipe.
- Bitwarden : permet de partager des identifiants avec d'autres utilisateurs Bitwarden via des collections partagées — chiffrement de bout en bout, open source
- 1Password : partage de coffres-forts avec des membres de l'équipe, contrôle des permissions (lecture seule, modification)
- Dashlane : partage d'identifiants avec ou sans révéler le mot de passe en clair au destinataire
Ces solutions sont particulièrement adaptées pour les accès partagés en entreprise — un accès peut être révoqué à tout moment sans que le destinataire ait jamais vu le mot de passe en clair.
Méthode 3 : la messagerie chiffrée de bout en bout
Si vous n'avez pas accès à un outil dédié, une messagerie chiffrée de bout en bout reste une option acceptable — à condition d'utiliser les bons outils et de supprimer le message immédiatement après que le destinataire l'ait reçu.
- Signal : chiffrement de bout en bout par défaut, messages éphémères configurables, disponible sur iOS, Android et bureau
- WhatsApp : chiffrement E2E basé sur le protocole Signal, acceptable pour un usage ponctuel
- ProtonMail : e-mails chiffrés de bout en bout entre utilisateurs ProtonMail, ou via lien sécurisé pour les destinataires externes
Bon à savoir : même sur Signal, évitez de laisser un mot de passe dans l'historique de conversation. Activez les messages éphémères (fonction "Minuterie") sur la conversation concernée et demandez au destinataire de confirmer la réception avant que le message ne disparaisse.
Méthode 4 : le partage verbal ou physique
Pour les accès les plus sensibles, la transmission verbale reste la méthode la plus sûre. Un appel téléphonique, une visioconférence ou une transmission en personne laisse zéro trace numérique — à condition que le destinataire note l'accès directement dans un gestionnaire de mots de passe sécurisé plutôt que sur un post-it ou dans un fichier texte.
Ce qu'il ne faut jamais faire
| Pratique à éviter | Risque |
|---|---|
| E-mail standard (Gmail, Outlook…) | Pas de chiffrement E2E, reste dans les historiques |
| SMS | Transit en clair, interception possible, historique permanent |
| Slack, Teams, Discord non chiffrés E2E | Lisible par l'opérateur, logs stockés côté serveur |
| Fichier texte ou Excel partagé | Aucun contrôle d'accès, peut être copié indéfiniment |
| Post-it ou note papier non sécurisée | Accessible physiquement par n'importe qui |
| Même mot de passe pour plusieurs services | Une compromission expose tous les comptes |
Bon à savoir : quel que soit le canal utilisé, changez le mot de passe partagé dès que possible après que le destinataire l'ait enregistré dans son gestionnaire de mots de passe. Un mot de passe temporaire transmis pour un premier accès doit toujours être remplacé par un mot de passe personnel généré par le destinataire lui-même — c'est la seule façon de garantir que vous n'avez plus accès aux informations sensibles de l'autre partie.