Joplin vs Filarr : deux philosophies du chiffrement de tes notes (comparatif en profondeur)
Joplin vs Filarr : comparatif en profondeur de deux apps de notes chiffrées. E2EE optionnel et notes en clair sur disque vs chiffrement AES-256 par fichier par défaut.
Mathis Belouar-Pruvot
Réponse rapide. Joplin et Filarr sont tous deux des apps de prise de notes qui prennent le chiffrement au sérieux, mais ils ne protègent pas la même chose. Joplin stocke tes notes en Markdown clair sur ton disque et propose un chiffrement de bout en bout optionnel qui protège uniquement la copie synchronisée sur ton serveur — ton disque local, lui, reste en clair. Filarr inverse l'ordre : chaque fichier est chiffré en AES-256-GCM directement sur ton disque, avec une clé par fichier, que tu synchronises ou non. Choisis Joplin si tu veux un écosystème mature, 100 % open source MIT, des apps mobiles solides, une portabilité Markdown totale et la liberté de te synchroniser via Nextcloud, Dropbox ou WebDAV gratuitement. Choisis Filarr si ton scénario de menace inclut le vol de ton ordinateur portable, si tu veux que tes notes et tes fichiers vivent chiffrés au repos sans rien activer, et si tu veux un graph qui relie notes et fichiers dans une seule app. Les deux sont défendables ; ils répondent juste à deux peurs différentes.
Pourquoi cette comparaison compte maintenant
Il y a une scène que tout utilisateur de notes finit par jouer dans sa tête, en général à un mauvais moment. Tu laisses ton laptop sur une table de café pour aller chercher ton allongé, et quand tu reviens il n'est plus là. Ou bien la douane te demande de déverrouiller ta machine. Ou ton disque externe de sauvegarde traîne dans un tiroir que quelqu'un d'autre peut ouvrir. À cet instant précis, la question n'est plus « est-ce que mon app est jolie » ni « est-ce qu'elle a un mode sombre », mais « qui peut lire ce que j'ai écrit ». Et c'est exactement à cet endroit que Joplin et Filarr divergent, alors qu'en surface ils ont l'air de cousins : deux apps open source, deux apps qui parlent de chiffrement, deux apps qui te promettent que tes données t'appartiennent.
Le problème, c'est que « le chiffrement » est un mot-valise. Quand Joplin dit qu'il chiffre, il parle d'un chiffrement de bout en bout qui protège la copie de tes notes posée sur le serveur de synchronisation — pas la copie qui dort sur ton disque. Quand Filarr dit qu'il chiffre, il parle de chaque fichier chiffré sur ton disque, indépendamment de toute synchronisation. Ce sont deux affirmations vraies qui protègent contre deux menaces opposées, et la plupart des comparatifs les mélangent joyeusement comme si « chiffré » était une case binaire à cocher. Ce n'en est pas une. J'ai construit Filarr précisément parce que cette confusion m'agaçait, donc autant te prévenir tout de suite : je ne suis pas neutre. Mais je vais essayer de faire ce que les comparatifs honnêtes font trop rarement, c'est-à-dire te montrer en détail là où Joplin est meilleur, parce qu'il l'est sur plusieurs dimensions qui comptent vraiment.
Cette comparaison compte maintenant parce que les deux mondes — le « tout dans le cloud » à la Notion et le « tout en local » à la Obsidian — sont en train de se faire rattraper par une troisième question que peu d'apps traitent proprement : et si je veux à la fois la commodité du multi-appareil et la garantie que personne, ni mon fournisseur de sync ni le voleur de mon sac, ne puisse lire mes notes ? Joplin répond à cette question d'une certaine façon, héritée de 2017. Filarr y répond d'une autre, pensée pour 2026. Le reste de cet article décortique ces deux réponses, ligne par ligne, menace par menace, euro par euro.
Un dernier mot avant d'entrer dans le détail : si tu cherches juste « la meilleure app de notes », ce n'est pas le bon article, parce qu'il n'existe pas de meilleure app de notes dans l'absolu. Il existe une meilleure app pour ton modèle de menace, ton budget et tes habitudes. Mon but ici est de te donner assez de matière pour reconstruire toi-même ce raisonnement, pas de te vendre une conclusion toute faite.
D'où viennent ces deux produits
Joplin a une histoire qui force le respect. Le projet a été démarré par Laurent Cozic en 2016, avec une première version en ligne de commande publiée le 12 juillet 2017, suivie de l'application Android la même année, puis du desktop en novembre 2017. C'est, à l'origine, une réponse personnelle à la fermeture progressive d'Evernote : un développeur qui voulait ses notes en Markdown, exportables, synchronisables n'importe où, et qui a fini par construire un écosystème complet autour de cette idée. Près de dix ans plus tard, Joplin tourne sur Windows, macOS, Linux, Android, iOS et même en ligne de commande, dispose d'un système de plugins, d'un Web Clipper pour capturer des pages, d'un éditeur Markdown WYSIWYG, et d'une offre cloud payante (Joplin Cloud) qui finance le développement. Le projet est resté majoritairement sous licence MIT depuis le début — l'une des licences les plus permissives qui existent — ce qui veut dire que n'importe qui peut forker, modifier, redistribuer, y compris commercialement, sans presque aucune contrainte. Cette maturité de presque une décennie est un atout que je ne vais pas minimiser : quand un logiciel a survécu dix ans, a vu passer des milliers de bugs et a une communauté active, ça vaut quelque chose qu'aucune feature ne remplace.
Filarr vient d'un autre endroit et d'une autre époque. Le projet est jeune — son écosystème date de 2026 — et il n'est pas né de la frustration d'Evernote mais d'une frustration plus spécifique : Notion stocke tes notes en clair sur ses serveurs, et Obsidian, malgré toute son élégance, n'a aucun chiffrement natif (tu dépends de plugins communautaires fragiles ou d'un chiffrement de disque externe). L'idée fondatrice de Filarr, c'est d'inverser le réglage par défaut. Au lieu de « tes données sont en clair, et tu peux éventuellement les chiffrer si tu fais l'effort », Filarr part de « tes données sont chiffrées sur ton disque, point, et la synchronisation cloud n'est qu'une option qui suit ». Techniquement, ça donne une app Electron + React (Electron 39, React 18) pour Windows, macOS et Linux, avec une version mobile encore en cours de route. Filarr ne se contente pas des notes : il gère aussi tes fichiers — plus de quarante-cinq formats prévisualisables, des images au PDF en passant par le code et la vidéo — et propose une vue en graph qui relie notes et fichiers, plus des espaces de travail multi-profils.
Il y a une asymétrie honnête à poser tout de suite : Joplin a dix ans d'avance en maturité, en communauté, en stabilité et en couverture de plateformes. Filarr a l'avantage du recul architectural — il a pu regarder ce que les autres avaient mal fait et concevoir le chiffrement comme fondation plutôt que comme rustine. Aucun des deux ne peut acheter ce que l'autre possède : Filarr ne peut pas se fabriquer dix ans d'historique du jour au lendemain, et Joplin ne peut pas réécrire son modèle de stockage local sans casser la rétrocompatibilité de millions de bases existantes. Garde cette tension en tête, parce qu'elle explique presque toutes les différences qui suivent.
La fracture philosophique : chiffrer le transport ou chiffrer le repos
Voici le cœur de tout, et si tu ne retiens qu'une section de cet article, que ce soit celle-ci. Joplin et Filarr ne sont pas en désaccord sur l'algorithme de chiffrement — ils utilisent tous les deux de l'AES-256-GCM moderne. Ils sont en désaccord sur ce qu'il faut chiffrer, et quand.
Le modèle de Joplin est ce qu'on appelle un chiffrement de bout en bout (E2EE) orienté synchronisation. Concrètement : tes notes vivent dans une base de données SQLite locale sur ton disque, en clair. Quand tu actives le E2EE — et c'est un acte volontaire, désactivé par défaut, qu'il faut enclencher sur un premier appareil puis propager — Joplin chiffre tes notes avant de les envoyer vers le serveur de synchronisation. Le serveur, qu'il s'agisse de Joplin Cloud, de Nextcloud, de Dropbox ou de WebDAV, ne reçoit que des blobs chiffrés qu'il ne peut pas lire. C'est un vrai chiffrement de bout en bout, sérieux, et il protège admirablement contre un fournisseur de cloud curieux ou compromis. Mais — et c'est un mais énorme que la documentation de Joplin reconnaît elle-même — ce chiffrement ne touche pas ta copie locale. Ouvre le fichier SQLite de Joplin avec un navigateur de base de données et tu verras tes notes en texte clair, ainsi que les clés cryptographiques dérivées de ton mot de passe. Joplin ne propose pas de chiffrement au repos de la base locale ; la communauté le demande depuis des années, et la réponse officielle est de s'appuyer sur le chiffrement de disque du système d'exploitation (BitLocker, FileVault, LUKS).
Le modèle de Filarr part de l'autre bout. Chaque fichier est chiffré individuellement en AES-256-GCM, avec un vecteur d'initialisation de 12 octets généré aléatoirement par fichier, sur ton disque, avant même qu'il soit question de synchronisation. Il n'y a pas d'interrupteur « activer le chiffrement » : c'est l'état par défaut et le seul état. Si quelqu'un vole ton ordinateur, débranche ton disque et le branche sur sa machine, il ne trouve que des blobs opaques. La synchronisation cloud, quand elle existe, ne fait que transporter ces blobs déjà chiffrés vers du stockage Cloudflare R2 (ou ton propre bucket S3 si tu actives le mode BYOS), et le serveur ne voit jamais ni le contenu, ni les noms de fichiers, ni les chemins — les identifiants de fichiers sont des hachages SHA-256 opaques dérivés des chemins. Le chiffrement n'est pas une fonction de la synchronisation ; la synchronisation est une fonction qui hérite du chiffrement.
Déroulons un scénario concret pour rendre ça palpable. Imagine que tu prends des notes sensibles — disons des comptes-rendus médicaux, des brouillons juridiques, ou simplement ton journal intime. Tu utilises l'app uniquement en local, sans aucune synchronisation, parce que tu ne fais confiance à aucun cloud. Avec Joplin dans cette configuration, le E2EE ne sert littéralement à rien : il protège un transport qui n'a pas lieu, et tes notes restent en clair dans le SQLite. Ta seule protection est le chiffrement de disque de ton OS, qui est tout-ou-rien (si la session est ouverte, tout est lisible) et qui dépend de ta diligence à le configurer. Avec Filarr dans la même configuration, tes fichiers sont chiffrés au repos quoi qu'il arrive, indépendamment de l'OS, avec une granularité par fichier. C'est une différence qui ne se voit nulle part dans une grille de features où les deux cochent « chiffrement AES-256 », et qui change pourtant tout selon ce que tu crains. Inversement — et c'est l'autre face honnête de la médaille — si ton modèle de menace est « je me fiche du vol de mon laptop, je veux juste que Dropbox ne lise pas mes notes », alors le modèle de Joplin est parfaitement suffisant, éprouvé, et accessoirement gratuit si tu te synchronises via ta propre infrastructure.
À quoi chaque outil sert vraiment
Joplin est, fondamentalement, un gestionnaire de notes Markdown avec une obsession pour la portabilité et la liberté de synchronisation. Tout y est pensé autour du fichier texte : tes notes sont du Markdown, tes carnets sont des dossiers logiques, tes pièces jointes sont des ressources liées, et l'ensemble peut être exporté, inspecté, sauvegardé et déplacé en texte brut. C'est un outil pour quelqu'un qui veut écrire beaucoup, organiser hiérarchiquement, capturer des pages web, et ne jamais se sentir prisonnier d'un format propriétaire. La force de Joplin, c'est qu'il ne te demande jamais de lui faire confiance sur le long terme : même si le projet disparaissait demain, tu pourrais récupérer tes notes avec un simple éditeur de texte. C'est un produit conçu pour les gens qui pensent en notes, qui veulent un système de prise de notes au sens classique du terme, enrichi de tags, de recherche, d'alarmes, de géolocalisation et d'un écosystème de plugins.
Filarr sert un usage qui se recoupe partiellement mais dont le centre de gravité est ailleurs. Ce n'est pas seulement un éditeur de notes : c'est un espace de travail chiffré qui mêle notes et fichiers. Là où Joplin traite les fichiers comme des pièces jointes secondaires accrochées à des notes, Filarr les traite comme des citoyens de première classe — tu peux y déposer des PDF, des images, du code, des vidéos, et les prévisualiser nativement, le tout chiffré au même titre que tes notes. La vue en graph relie ces deux mondes : une note peut pointer vers un fichier, un fichier peut être contextualisé par des notes, et tu vois la structure de l'ensemble. Les espaces de travail multi-profils permettent de cloisonner, par exemple, ton univers professionnel et ton univers personnel dans des contextes chiffrés séparés. Le centre de gravité de Filarr, c'est l'utilisateur qui ne veut pas seulement écrire en sécurité, mais aussi stocker en sécurité — qui voit ses notes et ses documents comme un seul corpus à protéger.
Cette différence d'usage explique pourquoi une comparaison frontale est un peu piégeuse. Si tu cherches strictement la meilleure app pour rédiger et organiser des milliers de notes Markdown avec des plugins partout, Joplin est probablement devant, et je le dis sans réticence. Si tu cherches un coffre-fort unifié pour des notes et des fichiers sensibles, qui chiffre tout au repos par défaut, Filarr est conçu pour ça et Joplin ne l'est tout simplement pas. Beaucoup de gens ont en réalité un pied dans chaque camp, et c'est pour ça que la suite — le chiffrement, la sync, la récupération, le prix — mérite d'être déroulée en détail plutôt que résumée en un vainqueur.
Le chiffrement en profondeur : quatre modèles de menace
Entrons dans la cryptographie, parce que c'est là que les promesses se vérifient ou s'effondrent. Commençons par poser les deux schémas côte à côte, factuellement.
Du côté de Joplin, les versions récentes (à partir de la v3.2) utilisent de l'AES-256-GCM avec un IV de 96 bits, et une dérivation de clé en PBKDF2-HMAC-SHA512. Le mécanisme central est une clé maître (Master Key) de 256 octets générée aléatoirement, qui sert à chiffrer le contenu, et qui est elle-même protégée par un mot de passe maître via PBKDF2 à 220 000 itérations pour le schéma KeyV1 — un chiffre conforme aux recommandations OWASP. Cette clé maître n'est jamais envoyée au serveur de synchronisation ; le mot de passe maître reste stocké localement. Historiquement, et c'est important pour la crédibilité, Joplin a longtemps utilisé de l'AES-128 par défaut (via la bibliothèque SJCL), une décision prise pour des raisons de performance, avant la bascule récente vers l'AES-256 natif. Si tu as une vieille base Joplin, tes notes peuvent encore être chiffrées avec l'ancien schéma tant que tu n'as pas migré.
Du côté de Filarr, le schéma est un FEK/KEK classique mais rigoureux. Chaque installation possède une clé de chiffrement de fichiers (FEK, File Encryption Key) : une clé AES-256 aléatoire qui chiffre tous les fichiers en AES-256-GCM. Cette FEK est elle-même enveloppée (wrapped) par une clé de chiffrement de clé (KEK, Key Encryption Key) dérivée de ton mot de passe via PBKDF2-SHA512 à 600 000 itérations — soit près de trois fois le compte d'itérations de Joplin, et également aligné sur les recommandations OWASP 2024. Optionnellement, tu peux remplacer PBKDF2 par Argon2id (paramétré à 64 Mo de mémoire, 3 passes, 4 threads de parallélisme), qui est l'état de l'art en matière de résistance aux attaques par matériel dédié. La FEK enveloppée est stockée chiffrée, le mot de passe est vérifié via un hachage PBKDF2 avec comparaison résistante aux attaques temporelles, et les jetons d'authentification sont rangés dans le trousseau du système d'exploitation via le safeStorage d'Electron plutôt qu'en clair. Filarr trace aussi des versions de chiffrement (un ancien format v1 à 10 000 itérations, et le format v2 actuel à 600 000) et migre automatiquement les anciennes données vers le standard courant lors d'une réécriture.
Maintenant, mettons ces schémas à l'épreuve de quatre menaces réelles, parce qu'un algorithme dans le vide ne veut rien dire.
Menace 1 : le serveur de synchronisation malveillant ou compromis. C'est le scénario où ton fournisseur de cloud est piraté, ou bien curieux, ou contraint de fouiller. Ici, les deux apps se comportent bien — à condition. Filarr n'envoie que des blobs chiffrés opaques vers R2 ou ton bucket S3, sans noms de fichiers ni chemins en clair (les identifiants sont des hachages), et le manifeste lui-même est chiffré avec la FEK avant l'envoi : le serveur est en mode zero-knowledge par construction, sans rien à activer. Joplin atteint le même résultat si et seulement si tu as activé le E2EE — sinon, sur un serveur compromis sans E2EE, tes notes sont lisibles. Avantage Filarr sur le « par défaut », égalité sur le « bien configuré ».
Menace 2 : le laptop volé. C'est ici que la fracture est la plus brutale. Filarr chiffre chaque fichier au repos : disque volé, fichiers illisibles, fin de l'histoire, même si ta session OS n'était pas chiffrée. Joplin, lui, stocke en clair dans son SQLite local ; un voleur qui récupère ta machine peut lire tes notes avec un simple navigateur SQLite, et le E2EE n'y change rien puisqu'il ne protège que le transport. Ta seule défense côté Joplin est le chiffrement de disque de l'OS, qui doit être activé séparément et qui ne protège plus rien une fois la session ouverte. Avantage net et important pour Filarr.
Menace 3 : le mot de passe faible. Si tu choisis « password123 », aucune des deux apps ne te sauvera magiquement, mais elles ne ralentissent pas l'attaquant de la même façon. Le coût d'une attaque par force brute dépend du nombre d'itérations de la dérivation de clé : plus il est élevé, plus chaque tentative de mot de passe coûte cher à l'attaquant. Les 600 000 itérations PBKDF2-SHA512 de Filarr (et a fortiori l'option Argon2id, qui pénalise lourdement le matériel spécialisé) imposent un coût supérieur aux 220 000 itérations de Joplin. La différence ne transforme pas un mauvais mot de passe en bon mot de passe — rien ne le fait — mais elle déplace le curseur. Léger avantage Filarr, surtout avec Argon2id activé.
Menace 4 : la réquisition légale. Imagine qu'on demande à l'éditeur du cloud de livrer tes données. Côté Filarr, l'hébergeur (Cloudflare R2) ne détient que des blobs chiffrés sans les clés, qui restent sur tes appareils — il ne peut livrer que du bruit. Côté Joplin Cloud, même chose si le E2EE est actif ; sans E2EE, le contenu est lisible et donc livrable. Il faut toutefois être lucide et honnête : aucune des deux apps ne te protège contre une réquisition qui vise ton propre appareil déverrouillé, ni contre un keylogger, ni contre une coercition physique. Le chiffrement protège les données au repos et en transit, pas un utilisateur contraint de taper son mot de passe. Je me méfie comme de la peste des apps qui promettent l'inviolabilité ; ni Joplin ni Filarr ne devraient te la promettre, et si l'une d'elles le fait, méfie-toi.
L'architecture de synchronisation et le multi-appareil
La façon dont chaque app gère le multi-appareil révèle beaucoup de sa philosophie. Joplin est, sur ce terrain, remarquablement libéral, et c'est l'un de ses plus beaux atouts. Tu n'es lié à aucun fournisseur : Joplin sait se synchroniser avec Joplin Cloud, Nextcloud, Dropbox, OneDrive, n'importe quel serveur WebDAV, n'importe quel stockage compatible S3, et même le système de fichiers local (pratique pour passer par un dossier synchronisé par un autre outil). Le modèle est celui d'un dépôt central de fichiers : chaque appareil pousse ses changements vers la cible de synchronisation et tire ceux des autres, avec une résolution de conflits qui crée des copies en cas d'édition simultanée plutôt que d'écraser. Quand tu es hors ligne, tu continues de travailler sur ta base locale, et la synchronisation rattrape au retour de la connexion. Si le serveur tombe, ou si tu résilies ton abonnement Joplin Cloud, tu ne perds rien : ta base locale est complète et autonome, et tu peux repointer la synchronisation vers une autre cible quand tu veux. Cette indépendance vis-à-vis du fournisseur est une liberté réelle, et elle signifie aussi que tu peux te synchroniser gratuitement à vie si tu possèdes déjà un Nextcloud ou un Dropbox.
Filarr aborde la synchronisation autrement, en cohérence avec son modèle chiffré-d'abord. Le backend par défaut est Cloudflare R2, accédé via des Workers, et les fichiers sont découpés en chunks chiffrés (4 Mo par défaut) puis envoyés comme blobs opaques. Le manifeste de synchronisation existe en deux versions : une version locale non chiffrée qui ne contient que des sommes de contrôle, des tailles, des horodatages et des identifiants opaques (jamais les noms réels), et une version cloud chiffrée avec la FEK avant l'envoi. La cohérence multi-appareil repose sur un verrouillage optimiste : un numéro de version de manifeste stocké côté serveur, qui renvoie un conflit (409) si deux appareils tentent d'écrire des versions divergentes, ce qui évite les écrasements silencieux. L'appairage entre appareils ne passe pas par un simple « entre ton mot de passe partout » : il utilise un code à six chiffres combiné à un échange de clés ECDH sur la courbe P-256, de sorte que la FEK puisse être transférée d'un appareil à l'autre sans jamais transiter en clair par le serveur. Pour ceux qui ne veulent dépendre d'aucun cloud géré, le mode BYOS permet de pointer vers ton propre bucket S3-compatible (Minio auto-hébergé, AWS S3, peu importe), avec exactement le même chiffrement côté client.
Là où Joplin gagne clairement, c'est sur la diversité et la maturité des cibles de synchronisation : six ou sept backends éprouvés, dont plusieurs entièrement gratuits et auto-hébergeables, contre R2 ou BYOS S3 chez Filarr. Si ton idéal est « je me synchronise via mon Nextcloud maison sans payer un centime », Joplin coche cette case aujourd'hui et Filarr la coche plus étroitement (BYOS S3). Là où Filarr gagne, c'est sur le fait que sa synchronisation n'a jamais besoin que tu fasses confiance au transport — le chiffrement est déjà fait avant que le premier octet ne parte — et que le multi-appareil est conçu autour d'un transfert de clés sécurisé plutôt que d'une ressaisie de mot de passe. Deux approches, deux compromis : flexibilité maximale d'un côté, garantie par défaut de l'autre.
Récupération et perte d'accès
C'est le sujet dont personne ne veut parler et que tout le monde devrait regarder avant de choisir, parce que le chiffrement fort a un revers cruel : si tu perds la clé, tu perds tout, et il n'y a pas de bouton « mot de passe oublié » qui tienne la promesse de zero-knowledge.
Chez Joplin, le modèle de récupération est lié au mot de passe maître. Tant que tu connais ce mot de passe, tu peux déchiffrer ta clé maître et donc tes notes, sur n'importe quel appareil où tu réinstalles Joplin et te resynchronises. Si tu oublies ce mot de passe maître, en revanche, les notes chiffrées sont irrécupérables — c'est la rançon logique du chiffrement de bout en bout, et Joplin ne peut pas plus te les rendre que Filarr. La nuance rassurante côté Joplin, c'est que tant que le E2EE n'est pas activé, ou que tu as une copie locale non chiffrée quelque part, tes notes restent lisibles en clair ; le risque de perte totale n'apparaît vraiment qu'avec le E2EE activé et le mot de passe perdu. Autrement dit, le modèle « moins chiffré par défaut » de Joplin est aussi, paradoxalement, un modèle « moins de risque de te verrouiller toi-même dehors ».
Chez Filarr, le chiffrement étant la fondation, la récupération est traitée comme un mécanisme de premier ordre plutôt que comme une arrière-pensée. En plus du mot de passe, Filarr génère une phrase de récupération de 24 mots au standard BIP-39 — le même standard que les portefeuilles de cryptomonnaie, avec environ 264 bits d'entropie. Cette phrase dérive une clé de récupération indépendante qui enveloppe la FEK en parallèle du mot de passe : concrètement, ta FEK est protégée par deux chemins distincts, ton mot de passe et ta phrase de 24 mots. Si tu oublies ton mot de passe, la phrase te permet de récupérer l'accès et d'en redéfinir un nouveau, sans que Filarr ait jamais eu besoin de connaître ni l'un ni l'autre. C'est élégant et robuste — à une condition impérative : tu dois noter cette phrase de 24 mots quelque part de sûr et hors ligne, parce que si tu perds à la fois ton mot de passe et ta phrase, personne au monde ne pourra te rendre tes données, et c'est exactement le but. Déroulons le scénario le plus noir, celui de la mort de l'utilisateur ou de la perte totale d'accès : avec Filarr, un proche muni de la phrase de 24 mots peut récupérer le coffre ; sans elle, c'est définitivement perdu. Avec Joplin, un proche muni du mot de passe maître peut récupérer ; et s'il existe une copie locale jamais chiffrée, il peut même y accéder sans rien. À toi de juger lequel de ces compromis correspond à ta tolérance au risque — sécurité maximale avec responsabilité maximale, ou filet de sécurité plus souple avec surface d'exposition plus large.
Le comparatif d'un coup d'œil
Voici le tableau que tu attendais, mais lis bien l'analyse en prose qui l'entoure, parce qu'un tableau aplatit toujours des nuances qui comptent.
| Dimension | Joplin | Filarr |
|---|---|---|
| Chiffrement au repos (disque local) | Non par défaut (SQLite en clair ; dépend du chiffrement de l'OS) | Oui, AES-256-GCM par fichier, par défaut |
| Chiffrement de bout en bout (sync) | Oui, optionnel (à activer) | Oui, par défaut |
| Algorithme | AES-256-GCM (récent) / AES-128 (héritage) | AES-256-GCM, clé par fichier |
| Dérivation de clé | PBKDF2-SHA512, 220 000 itér. | PBKDF2-SHA512, 600 000 itér. (Argon2id en option) |
| Récupération | Mot de passe maître | Mot de passe + phrase 24 mots BIP-39 |
| Cibles de sync | Joplin Cloud, Nextcloud, Dropbox, OneDrive, WebDAV, S3, fichiers locaux | Cloudflare R2 ou bucket S3 perso (BYOS) |
| Plateformes | Windows, macOS, Linux, Android, iOS, CLI | Windows, macOS, Linux (mobile en cours) |
| Notes + fichiers + graph | Notes + pièces jointes | Notes + fichiers (45+ formats) + graph |
| Plugins / écosystème | Riche, API plugins, Web Clipper | Jeune, pas d'écosystème de plugins mûr |
| Licence | MIT (permissive) | BSL 1.1 (client) |
| Prix sync | Gratuit en self-host ; Joplin Cloud dès ~2,99 €/mois | Gratuit en local ; sync dès 4 €/mois |
| Maturité | ~10 ans, communauté large | 2026, jeune |
Ce que ce tableau ne dit pas, et qu'il faut marteler : la ligne « chiffrement » coche un « oui » des deux côtés alors qu'elle recouvre deux réalités différentes, ce qui est précisément le piège que je dénonçais en introduction. La vraie information est dans les deux premières lignes prises ensemble — quoi est chiffré et quand. De même, la ligne « plateformes » sous-estime à quel point la maturité mobile de Joplin est un avantage concret aujourd'hui, et la ligne « cibles de sync » sous-estime à quel point le self-hosting gratuit de Joplin est une vraie liberté. Un tableau te donne la carte ; il ne te donne pas le terrain. Les deux sections suivantes corrigent ça en prenant parti, honnêtement, dans les deux sens.
Là où Joplin gagne vraiment
Commençons par les points où Joplin est meilleur, parce qu'ils sont nombreux et que les ignorer décrédibiliserait tout le reste.
D'abord, la maturité et la portabilité du format. Joplin a presque dix ans, et cette ancienneté se ressent partout : dans la stabilité, dans le nombre de bugs déjà corrigés, dans la profondeur de la documentation, dans la taille de la communauté qui peut t'aider à 3 heures du matin sur un forum. Surtout, Joplin stocke tes notes en Markdown, un format texte universel et pérenne. Même si le projet s'arrêtait, tes notes resteraient lisibles avec n'importe quel éditeur de texte pour les décennies à venir. C'est une garantie de longévité que Filarr, avec son format chiffré propriétaire, ne peut structurellement pas offrir de la même manière : tes fichiers Filarr nécessitent Filarr (ou la connaissance du schéma) pour être déchiffrés. Pour quelqu'un dont la priorité numéro un est « je veux pouvoir lire mes notes dans trente ans, quoi qu'il arrive au logiciel », Joplin a un avantage philosophique difficile à battre.
Ensuite, la licence. Joplin est sous MIT, l'une des licences open source les plus permissives qui existent. Tu peux le forker, le modifier, le redistribuer, l'intégrer dans un produit commercial, sans presque aucune obligation. Filarr, lui, est distribué sous une Business Source License 1.1 côté client — une licence « source-available » qui montre le code et autorise beaucoup d'usages, mais qui impose des restrictions commerciales et n'est pas considérée comme open source au sens de l'OSI. Si tu accordes de l'importance à la liberté logicielle au sens strict, ou si tu veux la garantie qu'aucune clause commerciale ne pourra jamais te contraindre, Joplin est plus libre, point.
Le mobile, ensuite. Les applications iOS et Android de Joplin sont matures, complètes, dotées d'historique de notes, d'alarmes, de géolocalisation, et même d'un support partiel de plugins. Filarr, à ce jour, n'a pas d'application mobile en production — c'est explicitement un chantier en cours. Si tu prends la moitié de tes notes sur ton téléphone, ce seul point peut clore le débat en faveur de Joplin pour toi, aujourd'hui, indépendamment de toute considération cryptographique.
L'écosystème de plugins et la capture web, enfin. Joplin possède une API de plugins, un magasin de plugins communautaires, et un Web Clipper qui te permet de happer une page web entière dans tes notes en un clic. Cette extensibilité transforme Joplin en plateforme : tu peux ajouter des fonctionnalités que les développeurs n'avaient pas prévues. Filarr est, à ce stade de sa jeunesse, une app cohérente mais fermée sur elle-même, sans écosystème de plugins comparable. Et puis il y a la liberté de synchronisation déjà évoquée : la possibilité de te synchroniser gratuitement et à vie via ton propre Nextcloud ou ton Dropbox est un argument économique et éthique réel que Filarr n'égale pas exactement.
Là où Filarr gagne vraiment
Passons à l'autre plateau de la balance, avec la même honnêteté.
Le premier avantage, et le plus structurant, est le chiffrement au repos par défaut. Ce n'est pas une option à activer, ce n'est pas une case à cocher qu'on oublie, ce n'est pas dépendant du chiffrement de l'OS : tes fichiers sont chiffrés sur ton disque dès la première seconde, avec une clé par fichier. Pour quiconque dont le modèle de menace inclut le vol physique, la perquisition, le disque de sauvegarde qui traîne ou simplement l'ordinateur familial partagé, c'est une protection que Joplin n'offre tout bonnement pas dans sa conception actuelle. Le « par défaut » compte énormément en sécurité, parce que la majorité des gens ne changent jamais les réglages par défaut, et un chiffrement qu'il faut penser à activer est un chiffrement qui, statistiquement, ne sera pas activé.
Le deuxième avantage est la rigueur des paramètres cryptographiques. 600 000 itérations de PBKDF2-SHA512 contre 220 000, c'est près de trois fois plus coûteux pour un attaquant qui tente de casser ton mot de passe par force brute. L'option Argon2id, absente chez Joplin, ajoute une résistance spécifique au matériel dédié (GPU, ASIC) que PBKDF2 seul ne procure pas. La phrase de récupération BIP-39 de 24 mots offre un chemin de secours pensé dès la conception, là où Joplin s'en remet entièrement au mot de passe maître. Ce sont des choix d'ingénieur qui partent du principe que la sécurité est la fonction, pas une fonctionnalité parmi d'autres.
Le troisième avantage est l'unification des notes et des fichiers dans un même coffre chiffré, reliés par un graph. Joplin traite les fichiers comme des pièces jointes de seconde zone ; Filarr les traite comme des objets de plein droit, prévisualisables nativement dans plus de quarante-cinq formats, et chiffrés au même titre que les notes. Si ton corpus n'est pas que du texte — si tu manipules des PDF sensibles, des images, des documents, du code — Filarr te donne un seul endroit chiffré pour tout, là où Joplin te pousserait à éparpiller tes fichiers ailleurs. Les espaces de travail multi-profils renforcent ça en te permettant de cloisonner des contextes entiers.
Le quatrième avantage est le caractère zero-knowledge par défaut de la synchronisation. Le serveur Filarr ne voit jamais ni le contenu, ni les noms de fichiers, ni les chemins ; même le manifeste cloud est chiffré, et les identifiants sont des hachages opaques. Tu n'as rien à configurer pour obtenir cette garantie — contrairement à Joplin, où elle dépend de l'activation manuelle du E2EE. Et pour ceux qui refusent tout cloud géré, le mode BYOS te laisse pointer vers ton propre bucket S3 tout en conservant le chiffrement côté client. C'est, au fond, la même promesse que Filarr fait partout : la commodité ne doit jamais te coûter la confidentialité, et tu ne devrais pas avoir à choisir entre les deux.
Migrer de l'un à l'autre, concrètement
Parlons friction réelle, parce que changer d'app de notes n'est jamais aussi simple que les pages marketing le laissent croire. Migrer de Joplin vers Filarr commence par le bon côté : Joplin exporte tes notes en Markdown (et en JEX, son format d'archive), ce qui te donne un corpus texte propre et portable à réimporter. La friction se situe ailleurs : Joplin organise tout autour de carnets et de tags, et cette structure ne se transpose pas un pour un dans l'organisation par fichiers, dossiers et graph de Filarr. Tu vas devoir réfléchir à comment tu veux réorganiser, plutôt que copier mécaniquement. Ce que tu gagnes au passage, c'est le chiffrement au repos de tout ton corpus et l'intégration de tes fichiers ; ce que tu perds, au moins temporairement, c'est l'accès mobile (tant que l'app mobile de Filarr n'est pas là) et l'écosystème de plugins auquel tu t'étais peut-être habitué.
Migrer de Filarr vers Joplin est, en théorie, le scénario que je devrais redouter en tant que fondateur, et je vais être honnête à son sujet : c'est plus laborieux, parce que les fichiers de Filarr sont chiffrés et qu'il faut d'abord les exporter en clair depuis l'app avant de pouvoir les réimporter ailleurs. C'est un coût de sortie réel, inhérent au modèle chiffré-d'abord — la contrepartie de la sécurité est qu'on ne peut pas simplement lire les fichiers bruts sur le disque comme on lirait un dossier Markdown Joplin. Je préfère te le dire franchement plutôt que de le cacher : le format texte universel de Joplin facilite la sortie, et c'est un vrai point en sa faveur si la réversibilité totale est un critère pour toi. Dans les deux sens, le conseil pratique est le même : ne supprime jamais la source avant d'avoir vérifié, note par note et fichier par fichier, que la destination contient bien tout, et garde une archive de l'ancien format pendant quelques semaines. Une migration ratée de notes, c'est des années de pensée perdues, et ça ne vaut jamais la précipitation.
Le prix décortiqué, scénario par scénario
Le prix est l'endroit où les abstractions deviennent des euros, alors chiffrons trois cas concrets. Rappel des grilles : Filarr est gratuit pour toujours en usage local, avec une synchronisation cloud à partir de 4 €/mois, plus l'option BYOS où tu paies ton propre stockage S3. Joplin est gratuit en application, et sa synchronisation est gratuite si tu utilises ta propre infrastructure (Nextcloud, Dropbox, WebDAV) ; Joplin Cloud, l'offre managée qui finance le projet, démarre autour de 2,99 €/mois pour le plan Basic (1 Go), 5,99 €/mois pour le plan Pro (10 Go), et 7,99 €/mois pour le plan Teams, avec un essai gratuit de 14 jours.
Scénario 1 : l'utilisateur solo, local uniquement, pas de synchronisation. Tu travailles sur une seule machine et tu ne veux aucun cloud. Coût : 0 € des deux côtés. Mais ce que tu obtiens pour ces 0 € diffère radicalement — avec Filarr, tes fichiers sont chiffrés au repos sans rien faire ; avec Joplin, tes notes sont en clair dans le SQLite et tu dépends du chiffrement de ton OS. Même prix, garanties opposées.
Scénario 2 : l'utilisateur qui veut du multi-appareil chiffré, environ 5 Go, sans gérer d'infrastructure. C'est le cas le plus courant. Avec Filarr, c'est l'abonnement sync à partir de 4 €/mois, chiffrement de bout en bout par défaut compris, soit environ 48 €/an. Avec Joplin, c'est le plan Pro de Joplin Cloud à 5,99 €/mois (10 Go) puisque le Basic à 1 Go serait trop juste, soit environ 72 €/an — en pensant bien à activer le E2EE, sans quoi tu paies pour une synchronisation non chiffrée. Sur ce scénario, Filarr est moins cher et chiffré par défaut.
Scénario 3 : l'utilisateur qui auto-héberge déjà. Tu possèdes un serveur Nextcloud, ou un NAS, ou tu es à l'aise avec un bucket S3 Minio. Avec Joplin, tu te synchronises gratuitement via ton Nextcloud existant, à vie, en activant le E2EE — coût marginal : 0 €. Avec Filarr, tu utilises le mode BYOS vers ton propre bucket, et tu ne paies que ton stockage (souvent quelques centimes), même si l'abonnement managé reste une option. Sur ce scénario précis, le self-hosting gratuit de Joplin est imbattable, et c'est un vrai argument pour le public des auto-hébergeurs. La leçon générale : Filarr est le plus avantageux pour celui qui veut du chiffré-par-défaut sans rien administrer, tandis que Joplin est le plus avantageux pour celui qui a déjà une infrastructure et accepte d'activer le chiffrement à la main.
Open source, licence, et ce que ça change pour toi
Les licences ont l'air d'un sujet de juriste, mais elles ont des conséquences très concrètes sur ta liberté et sur la pérennité de ton choix. Joplin est sous MIT : c'est de l'open source au sens le plus pur et le plus permissif. Le code est public, auditable par n'importe qui, et tu as la garantie qu'il restera modifiable et redistribuable librement, y compris si l'éditeur change d'avis ou disparaît. Pour un logiciel à qui tu confies tes pensées, cette auditabilité totale est un argument de confiance fort : tu n'as pas à croire que le chiffrement est bien fait, tu peux le vérifier, ou payer quelqu'un pour le vérifier.
Filarr, côté client, est distribué sous Business Source License 1.1 — une licence dite « source-available ». Le code est visible et auditable, ce qui te donne le même bénéfice de vérifiabilité du chiffrement que Joplin sur ce plan précis : tu peux lire comment la cryptographie est implémentée plutôt que de me croire sur parole, et c'est exactement ce que tu devrais faire pour ce genre d'app. La différence avec la MIT est dans les droits commerciaux : la BSL impose des restrictions sur certains usages commerciaux pendant une période donnée, avant de basculer généralement vers une licence plus ouverte. En pratique, pour un utilisateur final qui veut juste utiliser l'app et inspecter son code, la BSL change peu de choses ; pour quelqu'un qui voudrait construire un produit commercial concurrent à partir du code, elle pose des limites que la MIT ne pose pas. Si l'open source au sens strict de l'OSI est un critère non négociable pour toi, Joplin l'emporte. Si « code visible et auditable » te suffit et que tu te fiches des droits de redistribution commerciale, la distinction est plus académique que pratique pour ton usage quotidien.
Quatre profils, quatre recommandations
Si tu es un knowledge worker qui vit dans le Markdown et prend la moitié de ses notes sur mobile, choisis Joplin. Sa maturité mobile, sa portabilité Markdown et son écosystème de plugins répondent exactement à ton quotidien, et son E2EE optionnel suffira amplement si ton souci principal est que ton fournisseur de cloud ne lise pas tes notes. L'absence d'app mobile mûre chez Filarr est, pour toi, rédhibitoire aujourd'hui, et aucune supériorité cryptographique ne compense le fait de ne pas pouvoir écrire dans le métro.
Si tu es un développeur ou un professionnel privacy-conscious qui craint le vol de son laptop autant que la curiosité du cloud, choisis Filarr. Le chiffrement au repos par défaut, par fichier, est précisément la garantie qui te manque chez Notion, chez Obsidian sans plugin, et oui, chez Joplin en local. Le fait que tes notes et tes fichiers sensibles vivent dans un seul coffre chiffré, avec une phrase de récupération sérieuse et l'option Argon2id, correspond à une posture où la sécurité est le point de départ, pas une option.
Si tu es un auto-hébergeur convaincu qui possède déjà un Nextcloud et refuse de payer un abonnement, choisis Joplin. Tu te synchroniseras gratuitement à vie via ton infrastructure existante, en activant le E2EE pour obtenir un chiffrement de transport solide, le tout sous une licence MIT entièrement libre. Filarr peut te servir via BYOS S3, mais sur ce terrain précis du « gratuit et auto-hébergé clé en main », Joplin a l'avance et la simplicité.
Si tu es quelqu'un dont le corpus mélange notes et documents — PDF, images, code — et qui veut tout protéger d'un coup sans réfléchir aux réglages, choisis Filarr. L'unification notes + fichiers + graph dans un espace chiffré par défaut est sa raison d'être, et c'est exactement le scénario où traiter les fichiers comme des pièces jointes de seconde zone, à la manière de Joplin, devient frustrant. Tu acceptes en échange un écosystème plus jeune et une portabilité de format moins universelle, et c'est un compromis assumé.
Conclusion : choisis selon ta peur, pas selon la grille de features
Je ne vais pas te dire que Filarr est meilleur que Joplin, parce que ce serait à la fois malhonnête et inutile. Joplin est un logiciel remarquable, mûr, libre, portable, avec dix ans de soin derrière lui et des forces — mobile, plugins, format texte universel, self-hosting gratuit — que Filarr ne peut pas prétendre égaler aujourd'hui. Si je devais recommander une app de prise de notes Markdown à ma famille sans poser de questions, je nommerais probablement Joplin, parce qu'il est sûr, gratuit et difficile à se mettre à dos.
Mais « app de prise de notes » et « coffre chiffré pour mes données » ne sont pas tout à fait la même catégorie, et c'est là que ma conviction est ferme. Le modèle de Joplin chiffre le transport et laisse le repos à la charge de l'OS ; le modèle de Filarr chiffre le repos par construction et fait suivre le transport. La bonne question n'est donc pas « lequel est le meilleur », mais « de quoi as-tu peur ». Si ta peur est que Dropbox ou Joplin Cloud lise tes notes, Joplin en E2EE règle élégamment ton problème, gratuitement si tu auto-héberges. Si ta peur inclut le laptop volé, le disque de sauvegarde oublié, la machine partagée, la perquisition — si ta peur, en somme, vit sur ton disque autant que dans le cloud — alors le chiffrement-par-défaut-au-repos de Filarr répond à une menace que Joplin laisse, par conception, à découvert. Choisis l'outil qui chiffre ce que tu crains de voir lu. C'est aussi simple, et aussi personnel, que ça.
FAQ
Joplin chiffre-t-il mes notes sur mon disque dur ? Non, pas par défaut. Joplin stocke tes notes dans une base SQLite locale en texte clair ; son chiffrement de bout en bout (E2EE), qui est optionnel et désactivé par défaut, protège uniquement la copie envoyée vers ton serveur de synchronisation. Pour protéger la copie locale, tu dois t'appuyer sur le chiffrement de disque de ton système d'exploitation (BitLocker, FileVault, LUKS). Filarr, à l'inverse, chiffre chaque fichier en AES-256-GCM directement sur le disque, par défaut.
Quel est l'algorithme de chiffrement de chacun ? Les deux utilisent de l'AES-256-GCM dans leurs versions récentes. Joplin dérive sa clé avec PBKDF2-HMAC-SHA512 à 220 000 itérations (schéma KeyV1, depuis la v3.2 ; les anciennes versions utilisaient de l'AES-128). Filarr utilise PBKDF2-SHA512 à 600 000 itérations, avec Argon2id disponible en option, et une architecture de clé par fichier (FEK) enveloppée par une clé dérivée du mot de passe (KEK).
Puis-je utiliser Joplin ou Filarr gratuitement ? Oui pour les deux, avec des nuances. Joplin est gratuit en tant qu'application, et sa synchronisation est gratuite si tu utilises ta propre infrastructure (Nextcloud, Dropbox, OneDrive, WebDAV) ; l'offre managée Joplin Cloud démarre autour de 2,99 €/mois. Filarr est gratuit pour toujours en usage local, avec une synchronisation cloud à partir de 4 €/mois, ou via ton propre bucket S3 en mode BYOS.
Que se passe-t-il si j'oublie mon mot de passe ? Chez Joplin avec E2EE activé, oublier le mot de passe maître rend les notes chiffrées irrécupérables — il n'existe aucune porte dérobée. Chez Filarr, tu disposes en plus du mot de passe d'une phrase de récupération de 24 mots (standard BIP-39) qui permet de retrouver l'accès et de redéfinir un mot de passe. Dans les deux cas, perdre à la fois le mot de passe et tout moyen de secours signifie une perte définitive : c'est la rançon du vrai chiffrement.
Lequel a la meilleure application mobile ? Joplin, sans hésitation à ce jour. Ses applications iOS et Android sont matures, complètes et incluent même un support partiel de plugins. Filarr n'a pas encore d'application mobile en production ; c'est un chantier en cours. Si tu prends beaucoup de notes sur ton téléphone, c'est un critère décisif en faveur de Joplin.
Mes données sont-elles lisibles par le fournisseur de cloud ? Chez Filarr, non : la synchronisation envoie des blobs chiffrés opaques vers Cloudflare R2 (ou ton bucket S3), sans noms de fichiers ni chemins en clair, et le manifeste lui-même est chiffré — c'est du zero-knowledge par défaut. Chez Joplin, cela dépend : si tu as activé le E2EE, le serveur ne voit que des données chiffrées ; si tu ne l'as pas activé, le contenu est lisible par le serveur de synchronisation.
Joplin et Filarr sont-ils open source ? Joplin est entièrement open source sous licence MIT, l'une des plus permissives qui soient. Le client Filarr est distribué sous Business Source License 1.1, une licence « source-available » : le code est visible et auditable (tu peux donc vérifier l'implémentation du chiffrement), mais elle impose des restrictions commerciales que la MIT n'a pas. Pour un usage personnel, les deux te laissent inspecter le code.
Puis-je migrer mes notes de Joplin vers Filarr et inversement ? Oui, dans les deux sens, avec de la friction. Joplin exporte en Markdown et en JEX, ce qui facilite la sortie vers Filarr, mais tu devras repenser ton organisation (carnets/tags vers dossiers/graph). De Filarr vers Joplin, il faut d'abord exporter tes fichiers en clair depuis l'app puisqu'ils sont chiffrés sur le disque — un coût de sortie inhérent au modèle chiffré-d'abord. Dans tous les cas, vérifie l'intégralité de la migration avant de supprimer la source.