Quand vous créez un compte sur un service sécurisé, votre mot de passe ne devrait jamais être stocké en clair. Il devrait être transformé en une empreinte numérique (un "hash") impossible à inverser. C'est là qu'interviennent les algorithmes de hachage — et Argon2id est le meilleur de sa catégorie.
Pourquoi le hachage des mots de passe est crucial
Un mot de passe haché ne peut pas être directement reconverti en mot de passe original. Même si une base de données est volée, les attaquants ne récupèrent que des empreintes, pas les mots de passe réels.
Mais tous les algorithmes de hachage ne sont pas égaux. Des algorithmes comme MD5 ou SHA-1 sont extrêmement rapides — ce qui est une qualité pour vérifier l'intégrité de fichiers, mais un défaut catastrophique pour les mots de passe. Un GPU moderne peut tester des milliards de combinaisons par seconde avec ces algorithmes.
Qu'est-ce qu'Argon2id ?
Argon2id est un algorithme de dérivation de clé (KDF — Key Derivation Function) spécialement conçu pour sécuriser les mots de passe. Il a remporté la Password Hashing Competition en 2015, une compétition internationale de cryptographie qui a évalué des dizaines d'algorithmes.
Son nom vient de son comportement : Argon (un gaz inerte) reflète son caractère opaque et résistant, et 2id désigne une variante hybride entre Argon2i et Argon2d.
Les caractéristiques clés d'Argon2id
Coût en mémoire configurable
Argon2id utilise une quantité importante de mémoire RAM pendant le calcul. Cela le rend particulièrement résistant aux attaques GPU et ASIC, car ces matériaux, optimisés pour la parallélisation, ne bénéficient pas du même avantage quand la mémoire est le facteur limitant.
En pratique, cela signifie qu'une attaque par force brute nécessite autant de matériel pour chaque tentative, rendant les attaques massives exponentiellement plus coûteuses.
Coût en temps configurable
En plus du coût mémoire, Argon2id permet de définir un nombre d'itérations. Plus le nombre est élevé, plus le calcul est long — et plus il est difficile de tester des milliers de mots de passe par seconde.
Résistance aux attaques par canaux auxiliaires
Argon2id combine :
- Argon2i : résistant aux attaques par canaux auxiliaires (side-channel attacks) qui exploitent des informations comme la consommation électrique ou les accès mémoire
- Argon2d : résistant aux attaques GPU grâce à son accès mémoire dépendant des données
Cette combinaison hybride offre la meilleure protection dans la plupart des contextes.
Comment EchoPass utilise Argon2id
Chez EchoPass, Argon2id ne sert pas uniquement à stocker votre mot de passe de façon sécurisée. Il joue un rôle encore plus critique : la dérivation de la clé de chiffrement.
Voici le processus :
- Vous entrez votre mot de passe dans votre navigateur
- Argon2id transforme ce mot de passe en une clé cryptographique robuste (256 bits)
- Cette clé est utilisée par XChaCha20-Poly1305 pour chiffrer vos messages
- Seul le texte chiffré est envoyé à nos serveurs — jamais votre mot de passe, jamais la clé
Même si un attaquant interceptait le trafic réseau ou accédait à nos serveurs, il ne pourrait pas retrouver votre mot de passe ni déchiffrer vos messages.
Argon2id vs les alternatives
| Algorithme | Résistance GPU | Résistance side-channel | Recommandé pour mots de passe |
|---|---|---|---|
| MD5 / SHA-1 | ❌ Très faible | ❌ Faible | ❌ Non |
| bcrypt | ✅ Bonne | ⚠️ Partielle | ✅ Acceptable |
| scrypt | ✅ Bonne | ⚠️ Partielle | ✅ Bonne |
| Argon2id | ✅ Excellente | ✅ Excellente | ✅ Meilleur choix |
OWASP et le NIST recommandent tous deux Argon2id comme premier choix pour le hachage des mots de passe.
Ce que cela signifie pour vous
Lorsque vous utilisez EchoPass pour stocker vos messages confidentiels et préparer votre héritage numérique, votre sécurité repose sur une chaîne cryptographique solide :
- Argon2id pour dériver une clé robuste depuis votre mot de passe
- XChaCha20-Poly1305 pour chiffrer vos données avec cette clé
- HTTPS/TLS 1.3 pour sécuriser le transit
- Hébergement en Suisse pour une protection légale maximale
C'est cette combinaison qui nous permet d'affirmer que nous ne pouvons techniquement pas accéder à vos messages — même si nous le voulions.
En savoir plus sur notre architecture de sécurité ou créez votre compte gratuitement.