Comment chiffrer ses notes : le guide pratique pour garder ses idées vraiment privées
Comment chiffrer ses notes pour de bon : choisir le bon outil, un mot de passe solide, gérer sa phrase de recuperation et savoir qui detient vraiment la cle.
Mathis Belouar-Pruvot
Quick Answer
Pour chiffrer vos notes sans devenir cryptographe, choisissez une app qui chiffre chaque note en local avant tout envoi vers un serveur, protégez l'accès par un mot de passe solide, et gardez une phrase de récupération hors ligne. Concrètement : vous écrivez et retrouvez vos notes comme d'habitude, sauf que sur le disque elles ne sont qu'un tas d'octets illisibles pour qui n'a pas votre clé. Filarr applique ce principe avec du chiffrement AES-256-GCM par fichier, une clé dérivée de votre mot de passe (PBKDF2-SHA-512, 600 000 itérations) et une phrase de secours de 24 mots. Ce guide vous montre comment mettre ça en place proprement, étape par étape, et surtout comment ne pas vous verrouiller dehors.
Le vrai problème : vos notes en disent trop sur vous
On note tout. Des idées de projet, un mot de passe wifi griffonné vite fait, le compte-rendu d'un rendez-vous médical, les débuts d'un business, une liste de comptes à fermer après un décès dans la famille. Une app de notes finit par contenir une carte assez précise de votre vie. Et pourtant, la plupart des gens stockent tout ça dans des outils où le contenu est lisible en clair sur des serveurs qu'ils ne contrôlent pas.
Ce guide s'adresse à vous si vous utilisez Notion, Apple Notes, Google Keep ou Obsidian et que vous avez commencé à vous dire : « en fait, qui peut lire ça ? ». La réponse honnête, pour beaucoup d'outils : l'entreprise qui les héberge, ses employés avec les bons accès, un pirate en cas de fuite de base de données, et parfois un tribunal via réquisition. Pas parce que ces gens sont malveillants, mais parce que rien, techniquement, ne les en empêche. Le contenu est là, lisible.
Chiffrer ses notes, c'est retirer cette possibilité. Pas ajouter un cadenas décoratif, mais faire en sorte que même quelqu'un qui met la main sur le fichier ne voie qu'une bouillie inexploitable. On va voir comment faire ça sans transformer votre prise de notes en corvée.
Ce que « chiffrer une note » veut vraiment dire
Avant les étapes, deux minutes de clarté, parce que le marketing brouille tout.
Chiffrement en transit. Vos notes voyagent chiffrées entre votre appareil et le serveur (le fameux HTTPS, le petit cadenas du navigateur). C'est le minimum vital, quasiment tout le monde le fait. Mais une fois arrivées sur le serveur, les notes sont souvent déchiffrées et stockées en clair. Le facteur ne lit pas votre lettre en route, mais il en garde une photocopie ouverte à l'arrivée.
Chiffrement au repos côté serveur. Le prestataire chiffre les disques de ses serveurs. Rassurant sur le papier, mais c'est lui qui détient les clés. Il peut donc déchiffrer quand il veut, et n'importe qui obtenant ses clés aussi. Utile contre le vol physique d'un disque dur, inutile contre le prestataire lui-même.
Chiffrement de bout en bout / local-first. Là, la note est chiffrée sur votre appareil, avec une clé qui dérive de votre mot de passe et que vous seul connaissez. Ce qui part vers le cloud (si vous activez la sync) est déjà illisible. Le serveur stocke des blocs opaques dont il ne peut rien tirer. C'est la seule catégorie où « personne d'autre ne peut lire mes notes » est vrai au sens technique.
Retenez ceci : la question n'est pas « est-ce chiffré ? » (presque tout l'est un peu), mais « qui détient la clé ? ». Si la réponse n'est pas « moi et moi seul », vous faites confiance à quelqu'un.
Étape 1 : choisir un outil qui chiffre au bon endroit
Le choix de l'outil décide de 90 % de votre confidentialité. Aucune astuce de configuration ne rattrape un outil qui garde vos notes en clair.
Quelques critères concrets à vérifier avant d'investir du temps :
- Le chiffrement se fait-il en local, avant l'envoi ? Cherchez les termes « zero-knowledge », « end-to-end », « local-first » dans la doc, puis vérifiez que ce n'est pas juste un argument commercial. Un bon signe : l'éditeur explique quel algorithme il utilise (AES-256 par exemple) et comment la clé est dérivée de votre mot de passe.
- Le code est-il ouvert ou audité ? On ne croit pas un cadenas sur parole. Un logiciel open source ou dont le protocole de chiffrement est documenté publiquement permet de vérifier au lieu de croire.
- Que se passe-t-il si vous oubliez votre mot de passe ? Si l'éditeur peut « réinitialiser » et vous rendre vos notes, c'est qu'il détenait une clé. Un vrai système de bout en bout ne peut pas récupérer votre contenu ; il vous donne à la place une phrase de secours à conserver vous-même. Ce détail est le meilleur test de sincérité d'un produit.
- Fonctionne-t-il hors ligne ? Un outil local-first vous laisse travailler sans connexion et garde vos données sur votre disque. Le cloud devient une commodité optionnelle, pas une dépendance.
Filarr coche ces cases : chaque fichier est chiffré localement en AES-256-GCM, la sync cloud est optionnelle (le serveur ne reçoit que des blobs chiffrés opaques), le client desktop est open source (licence BSL 1.1), et une phrase de récupération de 24 mots remplace le bouton « mot de passe oublié ». Soyons honnêtes sur la contrepartie : face à Obsidian, l'écosystème de plugins est plus jeune, la communauté plus petite (le projet date de 2026) et le mobile est encore en cours. Si votre besoin premier est une bibliothèque de plugins tierce, Obsidian reste devant. Si c'est le chiffrement natif des notes ET des fichiers dans une seule app, c'est justement le trou que Filarr comble.
Étape 2 : construire un mot de passe qui tient réellement
Voici le point que presque tout le monde bâcle, et qui décide de tout. Dans un système de bout en bout, votre mot de passe n'est pas une simple porte d'entrée : c'est la matière première de votre clé de chiffrement. Le logiciel prend votre mot de passe et le passe dans une fonction de dérivation (chez Filarr, PBKDF2-SHA-512 avec 600 000 itérations, le seuil recommandé par l'OWASP) pour en fabriquer une clé AES-256. Traduction : si votre mot de passe est faible, votre chiffrement militaire ne sert à rien, parce que c'est le mot de passe qu'un attaquant essaiera de deviner, pas la clé.
Les 600 000 itérations existent précisément pour ça. Elles rendent chaque tentative de devinette lente et coûteuse, ce qui transforme une attaque par force brute de « quelques heures » en « plusieurs vies humaines », à condition que le mot de passe ne soit pas dans le top 10 000 des mots de passe courants.
En pratique :
- Visez une phrase de passe, pas un mot de passe. Quatre à six mots aléatoires sans lien entre eux (« cactus-tram-velours-orage-42 ») battent « Jean1985! » à plate couture, tout en étant plus faciles à retenir. La longueur pèse plus que les caractères bizarroïdes.
- Ne réutilisez jamais ce mot de passe ailleurs. C'est la clé de votre coffre entier. S'il fuite via un autre service, tout tombe.
- Laissez un gestionnaire de mots de passe le générer et le stocker si vous ne comptez pas le taper souvent. Vous n'avez à mémoriser que le mot de passe maître du gestionnaire.
Filarr affiche d'ailleurs une jauge de robustesse au moment où vous définissez une protection : elle note la longueur, la variété des caractères et vous pousse vers le vert. Prenez ce retour au sérieux, ce n'est pas décoratif.
Étape 3 : mettre en place, note par note ou coffre entier
Deux approches, selon votre tolérance à la friction.
Tout chiffrer par défaut. C'est l'approche recommandée si vous voulez arrêter de vous poser la question. Vous ouvrez votre espace de travail avec votre mot de passe une fois par session, et tout ce que vous écrivez est chiffré à l'écriture, déchiffré à la lecture, de façon transparente. Vous ne voyez pas la différence au quotidien, sauf que sur le disque, chaque fichier est un bloc illisible. Chez Filarr, c'est le fonctionnement natif : le contenu part chiffré en AES-256-GCM avec une clé unique par fichier, et vous ne gérez qu'un mot de passe d'accès à l'espace.
Chiffrer sélectivement les éléments sensibles. Certaines personnes préfèrent garder la masse de leurs notes accessibles rapidement et ne verrouiller que le sensible : documents d'identité, dossiers financiers, notes de santé. Filarr permet de poser un mot de passe sur un fichier ou un dossier précis, avec un indice optionnel, et de le déverrouiller le temps d'une session. C'est pratique pour un usage partagé d'un ordinateur, ou pour isoler un dossier « impôts » du reste.
Un conseil de terrain : ne mélangez pas trop les deux logiques au début. Choisissez « tout chiffré » si vous débutez, c'est plus simple à raisonner. La protection sélective devient utile une fois que vous savez précisément ce que vous voulez isoler et pourquoi.
Étape 4 : la phrase de récupération, votre unique filet
Voici la conversation qu'aucun tutoriel « privacy » n'ose avoir franchement : le vrai chiffrement de bout en bout est impitoyable. Personne ne peut vous rendre vos notes si vous perdez votre accès. C'est le prix exact de « personne d'autre ne peut les lire ». On ne peut pas avoir les deux.
D'où la phrase de récupération. Filarr en génère une de 24 mots (un standard BIP-39, soit 264 bits d'entropie, autant dire impossible à deviner). Cette phrase permet de reconstruire l'accès à vos données même si vous oubliez votre mot de passe. Techniquement, la clé maître de vos fichiers est « emballée » à la fois par votre mot de passe et par cette phrase : perdre l'un vous laisse l'autre.
Comment la gérer, sérieusement :
- Écrivez-la sur papier. Oui, du papier. Un support qui ne fuite pas en ligne, ne se fait pas ransomwarer et ne dépend d'aucune batterie.
- Rangez-la ailleurs que votre ordinateur. Un tiroir fermé, un coffre, chez un proche de confiance. L'idée est qu'un cambriolage ou un incendie ne détruise pas à la fois la machine et la phrase.
- Ne la photographiez pas, ne la tapez pas dans un mail ou un chat. Une phrase de récupération dans votre pellicule synchronisée sur le cloud, c'est exactement le trou que vous cherchiez à boucher.
- Ne la stockez pas dans la même app que celle qu'elle protège. C'est mettre la clé du coffre à l'intérieur du coffre.
Traitez cette phrase comme les 24 mots valent votre coffre entier, parce que c'est le cas.
Étape 5 : décider si vous synchronisez, et comment
Le chiffrement local règle la confidentialité. Reste la question de l'accès depuis plusieurs appareils et de la sauvegarde.
Si vous activez la sync cloud, l'important est de savoir ce qui part réellement. Dans un modèle bien conçu, seuls des blocs déjà chiffrés quittent votre machine ; le serveur ne détient jamais votre mot de passe ni votre clé. Chez Filarr, la synchronisation passe par du stockage objet (Cloudflare R2) qui ne reçoit que des blobs chiffrés opaques, et vous pouvez même brancher votre propre bucket S3-compatible si vous voulez héberger vous-même. Le point clé : activer la sync n'affaiblit pas le chiffrement, parce que le chiffrement a eu lieu avant l'envoi. Le multi-appareil fonctionne parce que chaque appareil dérive la même clé depuis votre mot de passe et sait déballer la clé de fichiers, sans que le serveur n'ait jamais rien à déchiffrer.
Si la confidentialité maximale prime et que le multi-appareil vous est égal, vous pouvez tout garder en local, sans jamais activer le cloud. Pensez alors à votre propre sauvegarde chiffrée (un disque externe, par exemple), parce que « local seulement » veut aussi dire « si le disque meurt, tout meurt » en l'absence de copie.
Pièges courants et bonnes pratiques
Quelques erreurs reviennent sans cesse. Autant les éviter d'emblée.
- Confondre verrou d'app et chiffrement. Un code PIN qui masque l'interface n'est pas du chiffrement si les fichiers restent lisibles en clair sur le disque. Vérifiez que le contenu lui-même est chiffré, pas seulement l'affichage.
- Un mot de passe faible sur un chiffrement fort. On l'a dit, mais c'est l'erreur numéro un. Votre AES-256 vaut votre mot de passe. Point.
- Perdre la phrase de récupération. L'erreur irréversible. Faites-la avant d'avoir des notes importantes dedans, pas après.
- Coller des secrets dans des apps tierces non chiffrées. Chiffrer vos notes ne sert à rien si vous copiez le contenu sensible dans un bloc-notes système ou un mail. La chaîne est aussi solide que son maillon le plus faible.
- Oublier les copies fantômes. Presse-papiers synchronisé, sauvegardes automatiques du système, aperçus de fichiers : le contenu déchiffré peut fuiter par des chemins détournés. Sur une machine partagée, verrouillez la session et activez le verrouillage automatique après inactivité.
- Croire qu'un chiffrement rend « inviolable ». Aucun système ne l'est. Un bon chiffrement élève massivement le coût d'une attaque, il ne le rend pas nul. Restez lucide, méfiez-vous des logiciels qui promettent la sécurité absolue.
Bonne pratique transversale : activez le verrouillage automatique. Filarr propose de reverrouiller l'espace après une période d'inactivité, ce qui protège si vous vous éloignez de l'écran. C'est cinq secondes de configuration pour une vraie tranquillité.
FAQ
Le chiffrement va-t-il ralentir ma prise de notes ? En pratique, non. Le chiffrement AES est accéléré matériellement sur les processeurs modernes, et l'opération se fait à l'ouverture et à l'enregistrement, de façon transparente. Vous déverrouillez votre espace une fois par session, puis vous écrivez normalement.
Si l'éditeur du logiciel disparaît, je perds mes notes ? Avec un outil local-first, non : vos fichiers chiffrés restent sur votre disque et le format est le vôtre. Tant que vous avez votre mot de passe ou votre phrase de récupération, vous gardez l'accès, indépendamment du sort de l'entreprise. C'est un des grands avantages du local par rapport au tout-cloud.
Quelle différence entre mettre un mot de passe et chiffrer vraiment ? Un mot de passe peut n'être qu'un contrôle d'accès qui masque des données restées lisibles en dessous. Le chiffrement transforme le contenu lui-même en données illisibles sans la clé. La bonne question à poser à un logiciel : « si je copie le fichier brut sur une clé USB, son contenu est-il lisible ? ». Si oui, ce n'est pas du chiffrement.
J'ai oublié mon mot de passe, comment récupérer mes notes ? Dans un vrai système de bout en bout, seule votre phrase de récupération le permet. Chez Filarr, la phrase de 24 mots reconstruit l'accès. S'il existait un autre moyen côté éditeur, cela signifierait qu'il détient une clé, donc que le chiffrement n'est pas réellement de bout en bout. C'est pour cela que conserver la phrase est non négociable.
Le cloud voit-il mes notes si j'active la synchronisation ? Avec un chiffrement local préalable, non : le serveur ne reçoit que des blocs déjà chiffrés, sans votre clé ni votre mot de passe. Il ne peut donc pas lire votre contenu. Vérifiez toujours que le chiffrement a lieu sur votre appareil avant l'envoi, et pas seulement sur les serveurs du prestataire.
AES-256, c'est vraiment nécessaire pour de simples notes ? Oui, et ça ne coûte rien de plus. AES-256-GCM est un standard éprouvé, rapide, qui assure à la fois la confidentialité et l'intégrité (il détecte si un fichier a été altéré). Le vrai facteur limitant n'est jamais l'algorithme, c'est la robustesse de votre mot de passe et la façon dont vous gardez votre phrase de récupération.
Conclusion : trois gestes, ce week-end
Chiffrer ses notes n'est pas un projet d'expert, c'est une suite de bons choix simples. Un : prenez un outil qui chiffre en local avant tout envoi et qui vous donne une phrase de récupération au lieu d'un bouton « mot de passe oublié ». Deux : construisez une vraie phrase de passe, longue, unique, jamais réutilisée. Trois : écrivez votre phrase de récupération sur papier et rangez-la loin de votre ordinateur.
Faites ces trois gestes une fois, et vos notes cessent d'être un dossier ouvert que d'autres peuvent lire. Vous continuez à écrire, organiser et retrouver vos idées exactement comme avant, sauf que désormais, la seule personne capable de les lire, c'est vous. Si vous voulez un point de départ concret qui applique tout ce qui précède par défaut, Filarr est gratuit pour toujours en local, la sync cloud optionnelle démarrant à 4 euros par mois. Mais l'essentiel tient dans la méthode : le chiffrement rassure, votre mot de passe et votre phrase de secours font le vrai travail.