description: Le chiffrement des données est le seul moyen de contrôler qui peut y accéder. Ces outils vous permettent de chiffrer vos emails et tout autre de fichier.
Le **chiffrement** est le seul moyen fiable de contrôler qui peu accéder à vos données. Voici nos recommandations de logiciel de chiffrement pour les personnes souhaitant chiffrer leur disque dur, mail ou fichiers.
**Cryptomator** est une solution de chiffrement pensée pour chiffrer vos fichiers sauvegardés dans n'importe quel [:material-server-network: Fournisseur de Service](basics/common-threats.md#privacy-from-service-providers){ .pg-teal } cloud, éliminant ainsi le besoin de s'assurer qu'il n'accède pas à vos fichiers. Il vous permet de créer des coffres-forts qui sont stockés sur un disque virtuel, dont le contenu est chiffré et synchronisé avec votre fournisseur de stockage cloud.
Cryptomator utilise le chiffrement AES-256 pour chiffrer les fichiers et les noms de fichiers. Cryptomator ne peut pas chiffrer certaines métadonnées telles que les dates et heures d'accès, de modification et de création, ni le nombre et la taille des fichiers et des dossiers.
Cryptomator est gratuit sur toutes les plateformes de bureau, ainsi que sur iOS en mode "lecture seule". Les autres fonctionnalités de l'application sur iOS ainsi que l'application Android sont [payantes](https://cryptomator.org/pricing). La version Android peut être achetée anonymement avec [ProxyStore](https://cryptomator.org/coop/proxystore).
Certaines bibliothèques cryptographiques de Cryptomator ont été [auditées](https://community.cryptomator.org/t/has-there-been-a-security-review-audit-of-cryptomator/44) par Cure53. La portée des bibliothèques auditées comprend: [cryptolib](https://github.com/cryptomator/cryptolib), [cryptofs](https://github.com/cryptomator/cryptofs), [siv-mode](https://github.com/cryptomator/siv-mode) et [cryptomator-objc-cryptor](https://github.com/cryptomator/cryptomator-objc-cryptor). L'audit ne s'est pas étendu à [cryptolib-swift](https://github.com/cryptomator/cryptolib-swift), qui est une bibliothèque utilisée par Cryptomator pour iOS.
La documentation de Cryptomator décris en détails [ses objectifs de sécurité](https://docs.cryptomator.org/en/latest/security/security-target),[son architecture](https://docs.cryptomator.org/en/latest/security/architecture), et [les bonnes pratiques](https://docs.cryptomator.org/en/latest/security/best-practices) à adopter pour une utilisation optimale.
**VeraCrypt** est un utilitaire gratuit et open source pour le chiffrement de fichiers/dossiers à la volée. Il peut créer un disque virtuel chiffré dans un fichier, chiffrer une partition ou l'ensemble du périphérique de stockage avec une authentification avant le démarrage.
VeraCrypt est un dérivé du projet TrueCrypt, qui a été abandonné. Selon ses développeurs, des améliorations de la sécurité ont été apportées et les problèmes soulevés par l'audit initial du code de TrueCrypt ont été résolus.
Lors du chiffrement avec VeraCrypt, vous avez la possibilité de choisir parmi différentes [fonctions de hachage](https://fr.wikipedia.org/wiki/VeraCrypt#Syst%C3%A8me_de_chiffrement). Nous vous suggérons de **seulement** sélectionner [SHA-512](https://fr.wikipedia.org/wiki/SHA-2) et de vous en tenir au [chiffrement par blocs AES](https://fr.wikipedia.org/wiki/Advanced_Encryption_Standard).
TrueCrypt a été [audité plusieurs fois](https://en.wikipedia.org/wiki/TrueCrypt#Security_audits), et VeraCrypt a également été [audité séparément](https://en.wikipedia.org/wiki/VeraCrypt#VeraCrypt_audit).
Les solutions de chiffrement intégrées au système d'exploitation s'appuient généralement sur les fonctionnalités de sécurité du hardware, comme un [cryptoprocesseur sécurisé](basics/hardware.md#tpmsecure-cryptoprocessor). C'est pourquoi nous vous recommandons d'utiliser les solutions de chiffrement intégrées à votre système d'exploitation. Pour un chiffrement multiplateforme, nous recommandons toujours [des outils multiplateformes](#multi-platform) pour plus de flexibilité, et éviter le verrouillage des fournisseurs.
<summary>Shut devices down when not in use.</summary>
Powering off your devices when they’re not in use provides the highest level of security, as it minimizes the attack surface of your FDE method by ensuring no encryption keys remain in memory.
**BitLocker** est l'outil de chiffrement fourni avec Microsoft Windows, il utilise le module de plateforme sécurisée ([TPM](https://learn.microsoft.com/windows/security/information-protection/tpm/how-windows-uses-the-tpm)) pour la sécurité hardware.
BitLocker is [officially supported](https://support.microsoft.com/en-us/windows/bitlocker-overview-44c0c61c-989d-4a69-8822-b95cd49b1bbf) on the Pro, Enterprise, and Education editions of Windows. The Home edition only supports automatic [Device Encryption](https://support.microsoft.com/en-us/windows/device-encryption-in-windows-cf7e2b6f-3e70-4882-9532-18633605b7df) and must meet specific hardware requirements. If you’re using the Home edition, we recommend [upgrading to Pro](https://support.microsoft.com/en-us/windows/upgrade-windows-home-to-windows-pro-ef34d520-e73f-3198-c525-d1a218cc2818), which can be done without reinstalling Windows or losing your files.
Pro and higher editions also support the more secure pre-boot [TPM+PIN](https://learn.microsoft.com/en-us/windows/security/operating-system-security/data-protection/bitlocker/faq#what-is-the-difference-between-a-tpm-owner-password--recovery-password--recovery-key--pin--enhanced-pin--and-startup-key) feature, configured through the appropriate [group policy](os/windows/group-policies.md#bitlocker-drive-encryption) settings. The PIN is rate limited and the TPM will panic and lock access to the encryption key either permanently or for a period of time if someone attempts to brute force access.
**FileVault** est la solution de chiffrement de volume à la volée intégrée à macOS. FileVault utilise les [fonctionnalités de sécurité hardware](os/macos-overview.md#hardware-security) de Apple Silicon SoC ou de T2 Security Chip.
Nous vous recommandons d'éviter d'utiliser votre compte iCloud pour récupérer vos données ; à la place, vous pouvez stocker une clé de récupération localement et de façon sécurisée dans un périphérique de stockage externe.
**LUKS** est la méthode de chiffrement de disque par défaut pour Linux. Elle peut être utilisée pour chiffrer des volumes complets, des partitions ou créer des conteneurs chiffrés.
Nous recommandons d'ouvrir les conteneurs et les volumes avec `udisksctl` car cela utilise [Polkit](https://en.wikipedia.org/wiki/Polkit). La plupart des gestionnaires de fichiers, tels que ceux inclus dans les environnements de bureau les plus courants, peuvent déverrouiller les fichiers chiffrés. Des outils tels que [udiskie](https://github.com/coldfix/udiskie) peuvent s'exécuter dans la barre d'état système et fournir une interface utilisateur pratique.
Nous vous recommandons de toujours [sauvegarder vos en-têtes LUKS](https://wiki.archlinux.org/title/Dm-crypt/Device_encryption#Backup_and_restore) en cas de panne partielle du lecteur. Cela peut être fait avec :
**Kryptor** est un outil gratuit et open source de chiffrement et de signature de fichiers qui utilise des algorithmes cryptographiques modernes et sécurisés. Il se veut être une meilleure version de [age](https://github.com/FiloSottile/age) et [Minisign](https://jedisct1.github.io/minisign) en tant qu'alternative plus simple à GPG.
**Tomb** est un outil pour LUKS en ligne de commande shell. Il permet d'avoir recours à la stéganographie via des [outils tiers](https://dyne.org/software/tomb/#advanced-usage).
OpenPGP est parfois nécessaire pour des tâches spécifiques telles que la signature numérique et le chiffrage des e-mails. PGP possède de nombreuses fonctionnalités et est [complexe](https://latacora.micro.blog/2019/07/16/the-pgp-problem.html) car il existe depuis longtemps. Pour des tâches telles que la signature ou le chiffrement des fichiers, nous suggérons les options ci-dessus.
Lorsque vous chiffrez avec PGP, vous avez la possibilité de configurer différentes options dans votre fichier `gpg.conf` . Nous vous recommandons de garder les options de base précisées dans la [FAQ utilisateurs GnuPG](https://gnupg.org/faq/gnupg-faq.html#new_user_gpg_conf).
Lorsque vous [générez une clef](https://gnupg.org/gph/en/manual/c14.html), nous vous recommandons d'utiliser la commande `future-default` afin d'indiquer à GnuPG d'utiliser des outils de cryoptographie modernes tels que [Curve25519](https://en.wikipedia.org/wiki/Curve25519#History) et [Ed25519](https://ed25519.cr.yp.to) :
**GnuPG** est une alternative sous licence GPL de la suite de logiciels cryptographiques PGP. GnuPG est conforme [RFC 4880](https://tools.ietf.org/html/rfc4880), qui est la spécification actuelle de l'IETF pour OpenPGP. Le projet GnuPG travaille actuellement sur une [nouvelle ébauche](https://datatracker.ietf.org/doc/draft-ietf-openpgp-crypto-refresh) dans le but de moderniser OpenPGP. GnuPG fait partie du projet logiciel GNU de la Free Software Foundation et a reçu un [financement](https://gnupg.org/blog/20220102-a-new-future-for-gnupg.html) majeur du gouvernement allemand.
**GPG4win** est un paquet pour Windows de [Intevation et g10 Code](https://gpg4win.org/impressum.html). Il comprend [divers outils](https://gpg4win.org/about.html) qui peuvent vous aider à utiliser GPG sous Microsoft Windows. Le projet a été lancé et initialement [financé par](https://web.archive.org/web/20190425125223/https://joinup.ec.europa.eu/news/government-used-cryptography) l'Office Fédéral allemand pour la Sécurité de l'Information (BSI) en 2005.
Vous pouvez consulter leurs articles [Premiers Pas](https://gpgtools.tenderapp.com/kb/how-to/first-steps-where-do-i-start-where-do-i-begin-setup-gpgtools-create-a-new-key-your-first-encrypted-email)(fr) et [Base de connaissance](https://gpgtools.tenderapp.com/kb)(eng) en cas de difficulté.
**OpenKeyChain** est une implémentation de GnuPGP pour Android. Elle est généralement requise par les clients mail comme [Thunderbird](email-clients.md#thunderbird), [FairMail](email-clients.md#fairemail-android), et d'autres applications Android pour permettre d'utiliser les fonctions de chiffrement.
OpenKeychain 3.6 a été entièrement [audité](https://openkeychain.org/openkeychain-3-6) par Cure53 en octobre 2015. Vous pouvez trouver le rapport d'audit ainsi que les solutions mises en place par OpenKeyChain pour palier aux failles de sécurité [ici](https://github.com/open-keychain/open-keychain/wiki/cure53-Security-Audit-2015).
**Veuillez noter que nous ne sommes affiliés à aucun des projets que nous recommandons.** En plus de [nos critères de base](about/criteria.md), nous avons développé un ensemble d'exigences claires pour nous permettre de fournir des recommandations objectives. Nous vous suggérons de vous familiariser avec cette liste avant de choisir d'utiliser un projet, et de mener vos propres recherches pour vous assurer que c'est le bon choix pour vous.
Nos critères optimaux représentent ce que nous aimerions voir d'un projet parfait dans cette catégorie. Nos recommandations peuvent ne pas inclure tout ou partie de ces fonctionnalités, mais celles qui l'inclus peuvent être mieux classées que les autres sur cette page.
