Comment partager un mot de passe sans prendre de risque
Vous avez envoyé un mot de passe par SMS au moins une fois. Probablement par WhatsApp aussi. Peut-être par email. Ce n'est pas un jugement — c'est le réflexe naturel quand quelqu'un en a besoin tout de suite. Le problème, c'est que ce mot de passe est maintenant dans un historique de conversation que personne ne supprimera jamais. Ce guide explique quoi faire à la place, selon la situation.
En bref
- Envoyer un mot de passe par SMS ou WhatsApp, c'est le laisser en clair dans un historique accessible longtemps après
- La règle de base de Cybermalveillance.gouv.fr : ne jamais communiquer un mot de passe à un tiers — mais quand on doit partager un accès, c'est la méthode qui compte
- Pour un accès durable : un coffre partagé. Pour un accès ponctuel : un lien chiffré à durée limitée
Le vrai problème avec SMS et WhatsApp
La CNIL rappelle que la transmission d'un mot de passe en clair par email ou SMS expose à son interception par quiconque surveille le réseau. Mais au-delà de l'interception réseau — risque souvent abstrait —, il y a un problème beaucoup plus concret : l'historique.
Quand vous envoyez "mdp : Grenouille42!" par WhatsApp, ce message reste dans la conversation. Pendant des mois. Des années, parfois. Si le téléphone de la personne est volé, perdu ou accédé par quelqu'un d'autre, tous les mots de passe qu'elle a reçus par message deviennent compromis. Elle n'a rien fait de mal — elle a juste un historique de conversations comme tout le monde.
Les SMS posent un problème supplémentaire : ils ne sont pas chiffrés de bout en bout. Un SMS peut être intercepté en transit, notamment via des attaques dites "SIM swapping" où un attaquant prend le contrôle d'un numéro de téléphone. C'est pourquoi l'ANSSI déconseille les SMS pour la transmission de codes sensibles.
5 situations que vous reconnaissez probablement
Le mot de passe WiFi pour les invités
Des amis arrivent. On cherche l'autocollant au dos de la box — introuvable. On finit par taper la commande dans le routeur, on trouve le mot de passe, et on l'envoie par WhatsApp. Ou on l'écrit à la main sur un post-it.
Le risque : le mot de passe WiFi donne accès à votre réseau local. Quelqu'un sur votre réseau peut voir les appareils connectés, tenter d'accéder à un NAS mal configuré, ou surveiller le trafic non chiffré.
Alternative simple : activez le réseau "invité" de votre box (la plupart en ont un). Ce réseau est isolé du réseau principal. Le mot de passe peut être plus simple, et vous pouvez le changer après sans que ça n'affecte vos propres appareils.
Le partage de compte streaming (Netflix, Spotify, Disney+)
Vous partagez votre abonnement Netflix avec votre frère ou vos parents. Vous lui avez envoyé le mot de passe par SMS il y a deux ans. Ce SMS est probablement toujours dans son téléphone.
Le risque : si le compte Netflix est compromis, quelqu'un peut changer le mot de passe et vous exclure. Pire : si vous réutilisez ce mot de passe ailleurs (ce que Cybermalveillance.gouv.fr déconseille formellement), tous ces autres comptes sont exposés aussi.
Alternative simple : la plupart des services de streaming ont des fonctions de partage officielles avec des profils séparés. Si vous devez quand même transmettre un mot de passe, utilisez un lien de partage chiffré à usage unique plutôt qu'un SMS.
L'accès à un outil partagé pour un collègue ou un freelance
Un nouveau collègue rejoint l'équipe. Il a besoin d'accéder à l'outil de gestion de projet, au compte réseaux sociaux de l'entreprise, ou au serveur FTP. Réflexe habituel : on lui envoie les identifiants par email ou Slack.
Le risque : les messages Slack sont indexés et recherchables. Un email non chiffré peut être intercepté en transit et reste dans les boîtes envoyés et reçues indéfiniment. Si ce collègue quitte l'entreprise un jour, il a toujours ces identifiants dans ses archives.
Alternative : invitez-le dans un coffre partagé. Il voit les mots de passe dont il a besoin, sans que vous ayez à les lui transmettre directement. Quand il part, vous le retirez du coffre — et il n'a plus accès à rien.
Le nouveau bénévole qui a besoin des accès de l'association
Un nouveau bénévole va gérer les réseaux sociaux de l'association. Quelqu'un lui envoie le mot de passe Instagram par WhatsApp. Six mois plus tard, ce bénévole n'est plus là. Personne n'a pensé à changer le mot de passe.
Le risque : l'ex-bénévole a toujours accès au compte. Même sans mauvaise intention de sa part, son téléphone — avec ce mot de passe dans l'historique WhatsApp — pourrait être compromis.
Alternative : un coffre partagé pour l'association, organisé par thème (réseaux sociaux, banque, site web). Chaque bénévole n'est invité que dans les coffres qui le concernent. Quand il part, un clic suffit pour lui couper l'accès.
Les comptes importants partagés en famille
Votre conjoint a besoin du mot de passe de votre banque en ligne. Vos parents vieillissants ont besoin que vous puissiez accéder à leur assurance ou leur mutuelle en cas d'urgence. Votre fils étudiant a besoin du mot de passe de l'abonnement téléphonique familial.
Le risque : les accès bancaires et administratifs transmis par message sont particulièrement sensibles. Une fois dans un historique de conversation, ils y restent sans que vous puissiez les en retirer.
Alternative : un coffre famille partagé. Vous y stockez les accès communs (box internet, comptes administratifs, abonnements). Chaque membre de la famille accède via son propre compte — sans que vous ayez à transmettre quoi que ce soit par message.
3 règles pour partager un mot de passe sans laisser de traces
Utilisez un canal sans historique — ou un lien à usage unique
La transmission orale est sans historique — mais peu pratique pour un mot de passe de 20 caractères. L'alternative numérique : les liens de partage chiffrés à usage unique. Vous créez le lien, vous l'envoyez, la personne consulte le mot de passe une fois, et le lien expire. Même si quelqu'un intercepte le lien après coup, il ne mène à rien.
Si vous devez quand même passer par SMS ou email, appliquez la règle suivante.
Ne jamais envoyer l'identifiant et le mot de passe dans le même message
Si vous transmettez par email et SMS séparément, quelqu'un qui accède à l'un des deux canaux n'a que la moitié de l'information. Envoyez l'identifiant (adresse email ou nom d'utilisateur) par un canal, et le mot de passe par un autre. C'est la recommandation de base pour toute transmission d'accès sensible.
Changez le mot de passe quand la personne n'en a plus besoin
C'est la règle la plus simple — et la moins appliquée. Quand un freelance termine sa mission, quand un bénévole quitte l'association, quand une colocation se termine : changez les mots de passe des comptes partagés. Même si la personne était de confiance, son téléphone ou son ordinateur peuvent être compromis sans qu'elle le sache.
Deux approches selon le cas de figure
Selon que l'accès est durable ou ponctuel, la méthode n'est pas la même.
Accès durable — le coffre partagé
Pour les accès récurrents — comptes de l'association, outils d'équipe, comptes famille — un coffre partagé est la bonne structure. Chaque membre accède aux mots de passe via son propre compte, sans que vous ayez à les envoyer. Vous gardez le contrôle : vous ajoutez ou retirez des personnes à tout moment.
- Aucun mot de passe ne transite par SMS ou email
- Suppression de l'accès en un clic quand ce n'est plus nécessaire
- Chaque personne voit uniquement ce dont elle a besoin
Accès ponctuel — le lien de partage temporaire
Pour un prestataire, un intervenant externe, ou quelqu'un qui n'a besoin d'un accès qu'une seule fois : créez un lien de partage chiffré. Vous définissez une date d'expiration et un nombre maximal de consultations. La personne accède au mot de passe sans avoir de compte. Le lien expire automatiquement.
- Protégeable par une phrase secrète (que vous envoyez séparément)
- Expire après une date ou après le nombre de vues défini
- Le mot de passe n'est jamais envoyé en clair dans un message
Ces deux fonctions sont disponibles gratuitement sur Coffre.pro, sans limite de membres ni de mots de passe.
Sources et références
- Cybermalveillance.gouv.fr — Bonnes pratiques sur les mots de passe
- CNIL — Recommandations pour maîtriser la sécurité des mots de passe (2022)
- ANSSI — Recommandations relatives à l'authentification multifacteur et aux mots de passe (2021)
- Légifrance — Délibération CNIL n° 2022-100 du 21 juillet 2022 relative aux mots de passe
- Keeper Security — Est-il sûr d'envoyer un mot de passe par SMS ? (2024)
Fini les mots de passe dans les historiques de conversation
Coffre.pro est gratuit, sans abonnement. Créez votre premier coffre partagé en 2 minutes.
Créer un compte gratuit