Une clé de chiffrement perdue, c'est des données définitivement inaccessibles. Une clé mal protégée, c'est une sécurité illusoire. Le stockage des clés cryptographiques est l'un des défis les plus difficiles de la sécurité pratique. Voici comment l'aborder correctement.

Qu'est-ce qu'une clé de chiffrement ?

Une clé de chiffrement est une suite de données (généralement des bits aléatoires) qui permet de chiffrer ou de déchiffrer des informations. Selon les contextes, elle peut prendre différentes formes :

Clé symétrique : la même clé chiffre et déchiffre les données. Utilisée dans des algorithmes comme XChaCha20-Poly1305 ou AES.

Paire de clés asymétriques : une clé publique (partageable) et une clé privée (secrète). Utilisée dans PGP/GPG, les certificats SSL, les signatures numériques.

Phrase de récupération (seed phrase) : une suite de 12 à 24 mots qui régénère les clés privées d'un wallet de cryptomonnaies. Perdre cette phrase, c'est perdre l'accès définitif à vos cryptomonnaies.

Mot de passe maître : la clé d'accès à votre gestionnaire de mots de passe. Toutes vos clés dépendent de celle-ci.

Les erreurs courantes à éviter

Stocker en clair dans un fichier texte

Un fichier cles.txt sur votre bureau est une catastrophe sécuritaire. Si votre ordinateur est volé, infecté par un malware ou accédé par quelqu'un d'autre, toutes vos clés sont compromises.

Mémoriser uniquement

La mémoire humaine est faillible. Une clé de chiffrement forte est impossible à mémoriser (32+ octets aléatoires). Même les phrases de récupération de 24 mots présentent un risque de mémorisation imparfaite.

Stocker dans un seul endroit

Si votre unique copie est sur un disque dur qui tombe en panne, dans un coffre-fort volé ou dans un cloud piraté, vos clés sont perdues ou compromises.

Partager par email ou messagerie non chiffrée

Envoyer une clé par email ou SMS, même "juste pour l'avoir en backup", c'est l'exposer à tous les intermédiaires techniques qui traitent ces communications.

Les méthodes de stockage sécurisées

Option 1 : Papier physique dans un lieu sécurisé

Pour les clés les plus critiques (seed phrase de crypto, codes de récupération), le papier physique dans un lieu physiquement sécurisé reste une méthode robuste.

Avantages : résistant aux attaques informatiques, pas de dépendance à un logiciel ou service.

Inconvénients : risque d'incendie, d'inondation, de perte physique. Illisible à distance.

Bonnes pratiques :

  • Écrire à l'encre permanente (pas au crayon)
  • Laminer ou utiliser une enveloppe plastique résistante à l'eau
  • Stocker dans un coffre-fort certifié ignifuge
  • Conserver une copie dans un deuxième lieu physique (coffre bancaire, notaire)
  • Ne jamais photographier le papier (la photo existerait alors en clair dans votre galerie)

Option 2 : Métal gravé ou poinçonné

Des plaques d'acier inoxydable gravées avec votre seed phrase résistent au feu (jusqu'à 1400°C pour l'acier), à l'eau et au temps. Des produits comme Cryptosteel ou Bilodeau proposent ces solutions.

Avantages : quasi-indestructible, aucune dépendance technologique.

Inconvénients : coût, nécessite un stockage physique sécurisé.

Option 3 : Gestionnaire de mots de passe chiffré

Pour les clés que vous devez utiliser régulièrement, un gestionnaire de mots de passe comme Bitwarden ou 1Password offre un stockage chiffré accessible en toute sécurité.

Avantages : accessible de n'importe où, chiffré, synchronisé.

Inconvénients : dépend de la sécurité du gestionnaire et de votre mot de passe maître. Si le gestionnaire est compromis ou que vous perdez le mot de passe maître, toutes vos clés sont exposées ou perdues.

Recommandation : idéal pour les clés d'usage courant. Pas pour les clés les plus critiques (seed phrase de crypto) qui méritent un stockage indépendant.

Option 4 : Clé de sécurité matérielle (HSM)

Les HSM (Hardware Security Modules) grand public comme YubiKey ou Trezor stockent vos clés dans un circuit sécurisé dont elles ne peuvent pas sortir. Les opérations cryptographiques sont effectuées à l'intérieur de l'appareil.

Avantages : les clés ne quittent jamais l'appareil, résistant à l'extraction physique.

Inconvénients : coût, risque de perte ou de casse de l'appareil, certaines clés ne peuvent pas être exportées pour sauvegarde.

Option 5 : Chiffrement symétrique et stockage cloud

Chiffrez votre fichier de clés avec un algorithme robuste (AES-256, XChaCha20) et stockez le fichier chiffré dans le cloud. Le mot de passe de chiffrement est stocké séparément (en local ou sur papier).

Avantages : accessible de partout, sauvegardé automatiquement.

Inconvénients : deux éléments à protéger (fichier chiffré + mot de passe de déchiffrement).

La règle du 3-2-1 pour les clés critiques

Inspirée de la sauvegarde informatique, cette règle s'applique bien aux clés de chiffrement critiques :

  • 3 copies de vos clés critiques
  • Sur 2 supports différents (papier + chiffré numériquement par exemple)
  • Dont 1 copie hors site (coffre bancaire, notaire, autre ville)

Cette redondance protège contre la plupart des scénarios : vol, incendie, défaillance matérielle.

Clés de chiffrement et succession numérique

Si vos clés de chiffrement disparaissent avec vous, vos actifs numériques et vos données chiffrées le sont aussi. C'est un problème majeur de succession numérique.

Pour les cryptomonnaies : votre seed phrase doit impérativement être transmise à vos héritiers de manière sécurisée. Sans elle, les fonds sont définitivement perdus, quelle que soit leur valeur.

Pour vos archives chiffrées : si vous chiffrez des fichiers importants (photos de famille, documents légaux), documentez la clé ou le mot de passe utilisé.

Pour votre gestionnaire de mots de passe : le mot de passe maître doit être transmissible. La solution recommandée est de le stocker dans EchoPass, déclenché uniquement en cas de décès ou d'incapacité.

Comment EchoPass protège vos clés

EchoPass utilise lui-même un chiffrement de bout en bout avec XChaCha20-Poly1305. Les clés qui protègent vos messages sont dérivées de votre mot de passe selon une architecture zéro connaissance : même EchoPass ne peut pas lire vos données.

Cela fait d'EchoPass un endroit sécurisé pour stocker vos clés les plus sensibles destinées à vos héritiers : elles sont chiffrées, ne peuvent être lues par personne avant déclenchement, et sont transmises automatiquement à vos destinataires si vous ne confirmez pas votre présence.

Stockez vos clés critiques dans EchoPass pour une transmission sécurisée à vos héritiers.