Modèle de sécurité et de confidentialité

Tout est généré dans votre navigateur

Toutes les phrases secrètes, tous les mots de passe et tous les jetons sont créés localement, sur votre appareil, par du JavaScript exécuté dans votre navigateur. Il n'y a aucune étape de génération côté serveur. La page est en pratique un outil statique : une fois chargée, elle fait son travail sans dialoguer avec un backend.

Vos secrets ne sont jamais envoyés ni stockés

Les valeurs que vous générez ne sont pas transmises sur le réseau, ni écrites dans un journal, ni enregistrées dans un compte, ni placées dans un cookie. Il n'y a aucun compte utilisateur. La seule analyse d'audience est un outil respectueux de la vie privée et sans cookies, qui comptabilise des visites de pages anonymes — il ne reçoit jamais les secrets que vous générez.

Quelle source d'aléatoire est utilisée

L'aléatoire provient de l'API Web Crypto (crypto.getRandomValues), le générateur de nombres aléatoires cryptographiquement sûr intégré aux navigateurs modernes. Lorsque le générateur fait correspondre des octets aléatoires à une liste de mots ou à un jeu de caractères, il utilise un échantillonnage par rejet pour éviter le biais de modulo, de sorte que chaque mot ou caractère est également probable. Il n'utilise jamais Math.random pour les secrets.

Comment l'entropie est estimée

Comme l'outil choisit lui-même les mots et les caractères, il connaît la taille exacte du pool dont chacun a été tiré et calcule l'entropie directement : bits = longueur × log2(taille du pool). Il n'utilise pas d'indicateur de robustesse heuristique, qui sous-évaluerait des secrets réellement aléatoires. Les chiffres de temps de crackage sont donnés à titre indicatif, fondés sur des débits de devinette supposés, et l'estimation quantique ne reflète que l'accélération quadratique de l'algorithme de Grover.

Ce que cet outil peut et ne peut pas protéger

Il peut vous fournir un secret à haute entropie qui résiste aux tentatives de devinette et au crackage hors ligne. Il ne peut pas vous protéger d'un appareil compromis, d'un enregistreur de frappe, d'un logiciel malveillant, d'un regard indiscret par-dessus l'épaule, d'un hameçonnage, ou d'un service qui stocke mal votre mot de passe. Une génération solide n'est qu'une couche ; un stockage sûr et de bonnes habitudes sont les autres.

Considérez le résultat comme sensible dès l'instant où il apparaît à l'écran. Copiez-le dans votre gestionnaire de mots de passe, puis videz votre presse-papiers si vous êtes sur une machine partagée.

Des conseils pratiques que nous assumons

Utilisez un gestionnaire de mots de passe réputé afin que chaque compte ait un secret unique et que vous ne mémorisiez qu'une seule phrase secrète solide. Ne réutilisez jamais une phrase secrète ou un mot de passe d'un service à l'autre. Activez l'authentification à deux facteurs lorsqu'elle est proposée. Privilégiez la longueur à la complexité. Et maintenez vos appareils et votre navigateur à jour — le secret le plus solide ne peut rien pour une machine compromise.

Usage hors ligne et JavaScript

Les générateurs nécessitent JavaScript, car le travail cryptographique s'effectue dans le navigateur ; avec JavaScript désactivé, l'outil ne peut pas produire de secrets. Une fois la page chargée, il fonctionne hors ligne — vous pouvez vous déconnecter du réseau et continuer à générer, ce qui est une bonne façon de créer un secret à forte valeur avec l'assurance supplémentaire que rien ne quitte votre machine.