Chiffrement deniable : deux mots de passe VeraCrypt

En 2017, l’Agence des services frontaliers du Canada (ASFC) a détenu un homme à l’aéroport de Montréal-Trudeau pendant plusieurs heures, lui demandant le mot de passe de son ordinateur portable. Légalement en droit canadien, les agents frontaliers peuvent demander l’accès à vos appareils à la frontière — sans mandat.

Ce n’est pas un cas isolé. Les ASFC ont des pouvoirs étendus aux points d’entrée. Et la question “donnez-moi votre mot de passe” ne vient pas qu’à la frontière — elle peut venir d’une perquisition, d’un employeur, ou d’un partenaire.

Le deniable encryption répond à ça avec une solution cryptographique élégante : deux mots de passe, deux réalités.

Le concept de déni plausible

Le déni plausible (plausible deniability) est le principe que vous pouvez honnêtement nier l’existence d’une chose, parce qu’il est impossible de prouver qu’elle existe.

En chiffrement, ça se traduit ainsi : si vous avez un volume chiffré avec un mot de passe, et que quelqu’un vous demande le mot de passe, vous devez soit le donner, soit refuser et peut-être faire face à des conséquences. Mais si vous pouvez prouver de manière crédible que le volume ne contient que des données inoffensives, la question du “vrai” contenu ne se pose plus.

VeraCrypt implémente ça avec une architecture à deux niveaux.

Comment VeraCrypt crée deux volumes dans le même fichier

Un volume VeraCrypt normal ressemble à ça de l’extérieur : un fichier de, disons, 50 Go qui contient du bruit aléatoire quand il n’est pas monté. Rien ne distingue les données chiffrées du bruit aléatoire. C’est intentionnel.

Le volume caché exploite cette propriété.

Voici la structure :

[Fichier VeraCrypt 50 Go]
├── Volume extérieur (accessible avec Mot de passe A)
│   └── Contenu faux mais crédible (documents non sensibles, photos banales, etc.)
└── Volume caché (accessible avec Mot de passe B)
    └── Contenu réel que vous protégez

Le volume caché réside dans l’espace “libre” du volume extérieur. Pour un observateur externe — même avec les outils forensiques les plus avancés — il est impossible de distinguer le volume caché du bruit aléatoire dans l’espace libre.

Ce que ça donne en pratique :

Quelqu’un vous demande d’ouvrir votre fichier VeraCrypt. Vous donnez le Mot de passe A. Le volume extérieur s’ouvre. Il montre des fichiers de travail ordinaires, quelques photos de vacances, peut-être un budget personnel. Crédible. Rien d’intéressant.

Le volume caché avec le Mot de passe B n’est, cryptographiquement parlant, pas prouvable d’exister.

Créer un volume VeraCrypt avec volume caché

Étape 1 : Téléchargez VeraCrypt veracrypt.fr — gratuit, open-source, disponible sur Windows, macOS, Linux.

Étape 2 : Créer le volume

1. Ouvrez VeraCrypt → “Créer un volume”
2. Choisissez “Créer un volume chiffré dans un fichier”
3. À l’étape du type de volume, choisissez “Volume VeraCrypt caché”
4. VeraCrypt vous guidera à travers la création du volume extérieur d’abord (avec votre Mot de passe A), puis du volume caché (Mot de passe B)

Étape 3 : Remplir le volume extérieur de façon crédible C’est l’étape que la plupart des gens négligent. Un volume extérieur vide est suspect. Mettez des fichiers réels mais non sensibles — suffisamment pour que le volume semble utilisé.

Étape 4 : Utilisation quotidienne

• Pour accéder au vrai contenu : Mot de passe B → montage du volume caché
• Pour montrer le contenu “inoffensif” si requis : Mot de passe A → montage du volume extérieur

Attention critique : Quand le volume caché est monté, n’écrivez jamais dans le volume extérieur — vous pourriez écraser des données du volume caché. VeraCrypt a une option de protection du volume caché pour éviter ça.

Les limites réelles

Le deniable encryption est une protection technique. Elle a des limites importantes.

Les métadonnées OS : Windows peut garder des traces de l’accès à des fichiers. Si votre ordinateur a loggé que vous avez monté un volume VeraCrypt à 23h14 puis accédé à des fichiers spécifiques, mais que les fichiers visibles dans le volume extérieur ne correspondent pas à ce pattern — la chronologie peut être révélatrice.

Le remplissage d’espace : Un disque dur où 100% de l’espace libre ressemble à du bruit aléatoire uniforme est inhabituel. La présence de VeraCrypt seul peut signaler quelque chose.

L’erreur humaine : Si vous utilisez le bon mot de passe (B) quand vous devriez utiliser le faux (A), vous avez tout révélé. La discipline opérationnelle est aussi importante que la technique.

La contrainte légale directe : Dans certains pays (pas le Canada à ce jour), refuser de remettre un mot de passe est une infraction criminelle. Le déni plausible n’aide pas si la loi vous force à révéler tous vos mots de passe.

3 actions concrètes

1. Téléchargez et testez VeraCrypt maintenant — créez un volume test de 1 Go pour comprendre le processus avant de l’utiliser pour des données réelles
2. Créez un volume caché en suivant le guide officiel de VeraCrypt — prenez le temps de remplir le volume extérieur de façon crédible
3. Documentez vos mots de passe de façon sécurisée — perdre le Mot de passe B signifie perdre l’accès à vos données pour toujours

---

Le deniable encryption n’est pas paranoia. C’est une réponse rationnelle à des scénarios réels : frontières, perquisitions, vol d’ordinateur, pression professionnelle. Le fait que vous ne pensiez pas être dans une situation à risque ne signifie pas que vous ne le serez jamais.

Pour la gestion des clés et mots de passe critiques sur une machine complètement hors ligne, lisez notre article sur l’air gap.

Sequr — Agent certifié québécois

---

À lire aussi :

• Air Gap : la machine la plus sécurisée est celle qui n’est pas connectée
• Secure Deletion : effacer un fichier ne l’efface pas vraiment
• Compartimentalisation : pourquoi les agents secrets ont 3 téléphones