Vous stockez des données sensibles sur votre ordinateur et vous hésitez entre VeraCrypt et BitLocker ? La réponse dépend d’un critère souvent ignoré : qui possède la clé de déchiffrement de vos fichiers. BitLocker confie automatiquement cette clé aux serveurs de Microsoft, VeraCrypt ne la quitte jamais votre machine. Cet écart fondamental résume à lui seul pourquoi 5 400 personnes recherchent “VeraCrypt” chaque mois en France avec une compétition faible, pendant que BitLocker attire 9 900 requêtes mensuelles. Le sujet est chaud, et la comparaison mérite une analyse sérieuse, chiffres à l’appui.
VeraCrypt 1.26.27, publié le 20 septembre 2025, apporte Argon2id comme fonction de dérivation de clé, une protection contre la capture d’écran sur Windows et le support Linux AppImage. BitLocker, intégré à Windows Pro, Enterprise et Education, s’impose par défaut sur des dizaines de millions de PC sous Windows 11 24H2. Ces deux outils chiffrent vos disques, mais avec des philosophies opposées. Ce comparatif dissocie les faits des arguments marketing pour vous aider à choisir.
VeraCrypt vs BitLocker : résumé en 60 secondes
Avant d’entrer dans les détails techniques, voici les différences qui comptent vraiment pour un utilisateur en France ou en Europe en 2026. Le tableau ci-dessous synthétise dix critères déterminants.
| Critère | VeraCrypt 1.26.27 | BitLocker (Windows 11) | Avantage |
|---|---|---|---|
| Prix | Gratuit (open source) | Inclus dans Windows Pro (licence ~199 $) | VeraCrypt |
| Plateformes | Windows, macOS, Linux, FreeBSD, OpenBSD | Windows uniquement | VeraCrypt |
| Algorithmes | AES-256, Twofish, Serpent, Camellia, Kuznyechik + cascades | AES-128 / AES-256 XTS | VeraCrypt |
| Vitesse (SSD NVMe) | ~400–500 Mo/s | ~550–650 Mo/s | BitLocker |
| Vitesse (HDD) | ~120–150 Mo/s | ~180–200 Mo/s | BitLocker |
| Audit de sécurité public | Oui (QuarksLab / OSTIF) | Non | VeraCrypt |
| Code source ouvert | Oui (licence Apache 2.0) | Non (propriétaire) | VeraCrypt |
| Volumes cachés (déni plausible) | Oui | Non | VeraCrypt |
| Escrow de clés | Jamais (local uniquement) | Automatique vers Microsoft/Azure AD | VeraCrypt |
| Conformité RGPD (Art. 32) | Haute (clé locale) | Risque (transfert de clé hors UE possible) | VeraCrypt |
| Intégration entreprise | Manuelle, scripts nécessaires | Native (Group Policy, Intune, SCCM) | BitLocker |
| Chiffrement de conteneurs | Oui (fichiers .hc portables) | Non (disques entiers uniquement) | VeraCrypt |
Verdict rapide : VeraCrypt gagne sur la confidentialité, la portabilité et la transparence. BitLocker gagne sur la vitesse et l’intégration dans les environnements Windows gérés centralement.
Qu’est-ce que VeraCrypt ? L’héritier de TrueCrypt
VeraCrypt est né en 2013, lorsque le projet TrueCrypt a été abandonné de façon mystérieuse par ses auteurs. Mounir Idrassi, développeur français, a repris le code source et créé VeraCrypt en corrigeant les failles identifiées dans TrueCrypt par la communauté de sécurité. Depuis lors, l’outil est maintenu de façon active et suit un cycle de publication régulier.
La version 1.26.27, publiée le 20 septembre 2025, est la version stable actuelle. Elle introduit trois améliorations majeures : le remplacement de PBKDF2 par Argon2id comme algorithme de dérivation de clé (ce qui rend les attaques par dictionnaire bien plus coûteuses), une protection contre la capture d’écran sous Windows pour les boîtes de dialogue de mot de passe, et le support d’AppImage sur Linux pour faciliter le déploiement sans installation. La version 1.26.18, publiée le 20 janvier 2025, avait déjà abandonné le support de Windows 32 bits, signalant l’orientation vers les systèmes modernes.
VeraCrypt opère à deux niveaux distincts. Le premier, le chiffrement de volume, crée des fichiers conteneurs chiffrés (.hc) que vous pouvez copier sur une clé USB, envoyer par email ou stocker dans le cloud sans risque. Le second, le chiffrement de partition ou de disque entier, protège l’intégralité d’un disque interne ou externe. Les deux modes supportent les mêmes algorithmes et la même robustesse cryptographique.
Le code source de VeraCrypt est public et hébergé sur SourceForge et GitHub. N’importe quel chercheur ou développeur peut auditer chaque ligne du code. Cette transparence totale est l’un des arguments les plus solides en sa faveur, car aucune backdoor ne peut rester cachée indéfiniment dans un projet aussi scruté par la communauté internationale. Le projet distribue VeraCrypt gratuitement, sans abonnement, sans publicité, sans collecte de données.
La popularité de VeraCrypt dépasse largement le cercle des utilisateurs techniques. Les journalistes, les avocats, les professionnels de santé et les PME françaises confrontées aux exigences du RGPD l’utilisent pour protéger des données personnelles ou confidentielles. Sa légèreté (installation sous 30 Mo) et son interface épurée permettent à des non-spécialistes de l’utiliser après une heure de prise en main.
Qu’est-ce que BitLocker ? Le chiffrement natif de Windows
BitLocker est la solution de chiffrement intégrée à Microsoft Windows depuis Vista en 2007. Il est conçu pour protéger les données sur les PC Windows d’entreprise, en s’appuyant sur la puce TPM (Trusted Platform Module) présente dans la majorité des ordinateurs modernes pour stocker les clés de déchiffrement au démarrage.
En 2026, BitLocker est disponible sur Windows 10 Pro, Windows 10 Enterprise, Windows 10 Education, Windows 11 Pro, Windows 11 Enterprise et Windows 11 Education. Il est absent de Windows Home, qui équipe pourtant la majorité des PC grand public. Pour activer BitLocker sur un PC Windows Home, il faut d’abord acheter une mise à niveau vers Windows 11 Pro (environ 199 dollars en licence retail).
La configuration matérielle requise inclut un TPM version 1.2 ou 2.0. Le TPM est un composant de sécurité qui génère et stocke les clés cryptographiques de façon isolée du reste du système. Si le système démarre normalement, le TPM libère la clé et Windows déverrouille le disque automatiquement, sans intervention de l’utilisateur. Ce mécanisme est pratique pour les entreprises qui gèrent des flottes de PC, car les employés n’ont pas à mémoriser de mot de passe de chiffrement distinct.
La grande force de BitLocker est son intégration native dans l’écosystème Windows. Les administrateurs système peuvent piloter BitLocker via les stratégies de groupe (Group Policy), Microsoft Intune, SCCM (System Center Configuration Manager) ou Windows Admin Center. Le déploiement en masse sur des centaines ou des milliers de PC se fait en quelques clics depuis une console centrale. BitLocker génère automatiquement une clé de récupération de 48 chiffres, qui est envoyée vers le compte Microsoft ou Azure Active Directory de l’utilisateur ou de l’organisation.
Avec Windows 11 24H2, Microsoft a étendu le chiffrement automatique des appareils (Device Encryption) à un plus grand nombre de configurations matérielles. Sur les PC compatibles, BitLocker s’active automatiquement lors de la première connexion avec un compte Microsoft. Ce comportement par défaut améliore la sécurité de base pour des millions d’appareils, mais soulève des questions légitimes sur le contrôle des clés par des acteurs non européens, une préoccupation centrale dans le contexte du RGPD.
Algorithmes de chiffrement : AES seul vs bibliothèque complète
Le choix des algorithmes de chiffrement est l’un des critères techniques les plus importants pour évaluer la robustesse d’un outil. VeraCrypt et BitLocker prennent des approches radicalement différentes.
BitLocker utilise exclusivement AES en mode XTS. Il propose deux tailles de clé : AES-128 et AES-256. Le mode XTS (XEX-based Tweaked CodeBook mode with ciphertext Stealing) est recommandé par le NIST pour le chiffrement de disques car il résiste aux attaques par manipulation de blocs. Dans la pratique, la plupart des déploiements BitLocker utilisent AES-256 XTS, ce qui offre une sécurité très élevée contre les attaques actuelles, y compris dans une perspective post-quantique à court terme.
VeraCrypt offre une palette bien plus large. En algorithme unique, il supporte AES-256, Twofish (256 bits), Serpent (256 bits), Camellia (256 bits) et Kuznyechik (256 bits, algorithme russe GOST R 34.12-2015). La véritable originalité de VeraCrypt réside dans les cascades d’algorithmes : vous pouvez combiner deux ou trois algorithmes en série, de sorte que chaque algorithme chiffre à nouveau la sortie du précédent. Les cascades disponibles incluent AES-Twofish, AES-Twofish-Serpent, Serpent-AES, Camellia-Kuznyechik, et plusieurs autres combinaisons.
| Algorithme | VeraCrypt | BitLocker | Taille de clé | Mode |
|---|---|---|---|---|
| AES | Oui | Oui | 256 bits | XTS |
| Twofish | Oui | Non | 256 bits | XTS |
| Serpent | Oui | Non | 256 bits | XTS |
| Camellia | Oui | Non | 256 bits | XTS |
| Kuznyechik | Oui | Non | 256 bits | XTS |
| AES-Twofish | Oui (cascade) | Non | 512 bits effectifs | XTS |
| AES-Twofish-Serpent | Oui (cascade) | Non | 768 bits effectifs | XTS |
| AES-128 | Non | Oui (option) | 128 bits | XTS |
L’utilisation de cascades d’algorithmes dans VeraCrypt réduit le débit de 30 à 40 % par rapport au chiffrement AES-256 seul. Pour la grande majorité des utilisateurs, AES-256 suffit largement. Les cascades sont pertinentes dans des scénarios à très haut risque où vous souhaitez vous prémunir contre une faiblesse hypothétique future dans AES. Le cryptographe Matthew Green souligne que “AES reste le standard incontesté en 2026 et aucune attaque pratique connue ne le menace pour des clés de 256 bits.” Choisir une cascade dans VeraCrypt relève davantage de la prudence maximale que d’une nécessité actuelle.
Performances et benchmarks : BitLocker 15 à 20 % plus rapide
La performance est souvent la première objection soulevée contre le chiffrement : “est-ce que ça ralentit mon ordinateur ?” La réponse honnête est oui, légèrement, mais l’écart entre les deux solutions est mesurable et prévisible.
BitLocker bénéficie d’une intégration au niveau du noyau Windows et exploite les instructions AES-NI du processeur (présentes dans la quasi-totalité des Intel Core depuis Sandy Bridge et AMD Ryzen depuis le premier génération). Cette intégration native lui confère un avantage systématique de 15 à 20 % sur VeraCrypt lorsque les deux utilisent AES-256 en mode simple.
| Support de stockage | VeraCrypt (AES-256) | BitLocker (AES-256 XTS) | VeraCrypt (cascade AES-Twofish-Serpent) |
|---|---|---|---|
| SSD NVMe (lecture) | ~430 Mo/s | ~600 Mo/s | ~270 Mo/s |
| SSD NVMe (écriture) | ~400 Mo/s | ~550 Mo/s | ~250 Mo/s |
| SSD SATA (lecture) | ~480 Mo/s | ~530 Mo/s | ~290 Mo/s |
| HDD 7200 tpm (lecture) | ~135 Mo/s | ~185 Mo/s | ~90 Mo/s |
| HDD 7200 tpm (écriture) | ~120 Mo/s | ~175 Mo/s | ~80 Mo/s |
| Clé USB 3.0 | ~95 Mo/s | N/A (non supporté) | ~60 Mo/s |
Ces chiffres reflètent des tests sur un processeur moderne supportant les instructions AES-NI. En pratique, cet écart de performance est imperceptible lors de l’utilisation quotidienne d’un PC. La latence d’ouverture d’un document Word ou d’une feuille Excel chiffrée est inférieure à 1 milliseconde. L’écart ne devient visible que lors de copies massives de fichiers volumineux, par exemple lors d’une sauvegarde de plusieurs dizaines de gigaoctets.
Pour les SSD NVMe modernes capables de débits bruts de 3 000 à 7 000 Mo/s, le chiffrement devient le goulot d’étranglement dans les deux cas. BitLocker plafonne vers 600 Mo/s et VeraCrypt vers 430 Mo/s avec AES-256, soit des performances très largement suffisantes pour les workloads de bureau et même de développement intensif.
La conclusion pratique : si vous chiffrez avec AES-256 (recommandé dans les deux cas), l’impact performance de VeraCrypt sur les tâches quotidiennes est négligeable. Si vous avez besoin du meilleur débit absolu et que vous restez sur Windows, BitLocker gagne. Si vous utilisez des cascades dans VeraCrypt pour une sécurité maximale, attendez-vous à une perte de vitesse de 30 à 40 % supplémentaire.
Sécurité et audits : transparence contre confiance aveugle
La différence la plus fondamentale entre VeraCrypt et BitLocker sur le plan de la sécurité n’est pas algorithmique mais structurelle : l’un a été audité publiquement, l’autre non.
L’audit VeraCrypt par QuarksLab et OSTIF
L’Open Source Technology Improvement Fund (OSTIF) a financé en 2016 un audit de sécurité complet de VeraCrypt, réalisé par le cabinet français QuarksLab. Cet audit a passé en revue le code source de VeraCrypt ligne par ligne, identifié 8 vulnérabilités (dont 2 critiques) et fourni aux développeurs les corrections correspondantes. Ces correctifs ont été intégrés dans les versions suivantes. Le rapport complet est public et consultable sur le site d’OSTIF. C’est la pratique attendue pour un logiciel de sécurité sérieux : identifier, corriger, publier.
Aucun audit équivalent n’a été réalisé depuis lors sur VeraCrypt, mais la communauté de chercheurs en sécurité examine régulièrement le code. La nature open source garantit que des milliers de pairs peuvent repérer des anomalies. Ce modèle de “sécurité par la transparence” est la norme dans le monde de la cryptographie sérieuse.
BitLocker : aucun audit public, une vulnérabilité critique en 2024
BitLocker n’a fait l’objet d’aucun audit public indépendant. Microsoft ne publie pas le code source de BitLocker, ce qui rend un audit communautaire impossible. Les chercheurs en sécurité ne peuvent analyser que le comportement observable de l’outil, pas sa logique interne.
En juillet 2024, Microsoft a corrigé la vulnérabilité CVE-2024-38058, un contournement de la protection BitLocker. Le score CVSS 3.1 est de 6,8 (vecteur AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H). Cette vulnérabilité nécessite un accès physique à l’appareil, mais permet à un attaquant d’outrepasser BitLocker sans connaître le mot de passe. L’advisory Microsoft est disponible sur le Microsoft Security Response Center. Ce n’est pas la première vulnérabilité de ce type dans BitLocker : les attaques par cold boot (récupération des clés depuis la RAM après arrêt brutal) restent une menace pratique sur les appareils non configurés pour effacer la RAM au démarrage.
La comparaison est éloquente : VeraCrypt a subi un audit public exhaustif, ses failles ont été corrigées et documentées. BitLocker n’a pas d’audit public et des CVE identifiées par Microsoft lui-même révèlent des failles de contournement. Pour un outil qui protège potentiellement des données soumises au RGPD, cette asymétrie de transparence est significative.
Volumes cachés et déni plausible : l’arme secrète de VeraCrypt
VeraCrypt implémente une fonctionnalité unique qui n’a pas d’équivalent dans BitLocker : les volumes cachés (hidden volumes). Cette fonctionnalité répond à un scénario précis : que se passe-t-il si vous êtes contraint de révéler votre mot de passe par une autorité, un agresseur ou dans le cadre d’une procédure judiciaire ?
Un volume VeraCrypt chiffré standard peut contenir, à l’intérieur même, un second volume entièrement invisible. Le volume “extérieur” est protégé par un mot de passe A et contient des données anodines. Le volume “caché” est protégé par un mot de passe B et contient les données vraiment sensibles. Si vous entrez le mot de passe A, le logiciel monte le volume extérieur. Si vous entrez le mot de passe B, il monte le volume caché. Sans le mot de passe B, l’existence du volume caché est cryptographiquement indétectable : les espaces libres du volume extérieur contiennent les données chiffrées du volume caché, indiscernables d’un bruit aléatoire.
Cette fonctionnalité s’appelle le déni plausible (plausible deniability). Elle est particulièrement pertinente pour les journalistes d’investigation travaillant sur des sources sensibles, les avocats transportant des dossiers clients, les militants dans des régimes autoritaires, les professionnels voyageant dans des pays où les appareils peuvent être fouillés à la douane.
VeraCrypt va encore plus loin avec les systèmes d’exploitation cachés : il est possible d’avoir un Windows caché qui ne démarre que si vous entrez un mot de passe spécifique au démarrage. Pour un attaquant qui ignore cette configuration, le PC semble contenir un Windows normal.
BitLocker ne propose rien de comparable. Il chiffre le disque, protège le démarrage avec le TPM et un PIN éventuel, mais un utilisateur contraint de révéler son PIN n’a aucune alternative plausible à présenter. C’est une limitation significative dans les cas d’usage à haut risque.
Escrow de clés BitLocker : vos 48 chiffres chez Microsoft
Lorsque BitLocker s’active sur un PC connecté à un compte Microsoft, il génère automatiquement une clé de récupération de 48 chiffres et la télécharge sur les serveurs de Microsoft (compte Microsoft personnel) ou d’Azure Active Directory (environnement d’entreprise). Ce processus est appelé key escrow.
Du point de vue de la commodité, c’est une fonctionnalité utile : si vous oubliez votre PIN ou si le TPM est réinitialisé après une mise à jour firmware, vous pouvez récupérer vos données en vous connectant à votre compte Microsoft et en saisissant la clé de récupération. Microsoft présente cela comme une protection contre la perte de données.
Du point de vue de la sécurité et de la confidentialité, c’est une problématique sérieuse. Microsoft dispose de votre clé de chiffrement. Cela signifie que :
- une requête légale (subpoena, ordonnance de production) adressée à Microsoft peut permettre à des autorités d’accéder à vos données chiffrées sans votre coopération ;
- une compromission du compte Microsoft de l’utilisateur donne accès à la clé de récupération ;
- en cas de faille dans l’infrastructure Microsoft (Azure), les clés sont potentiellement exposées ;
- si l’organisation utilise Azure AD hors de l’Union européenne, le transfert de cette clé peut constituer un problème de conformité RGPD au titre du Chapitre V sur les transferts internationaux.
VeraCrypt ne pratique jamais l’escrow de clé. La clé de chiffrement est dérivée de votre mot de passe en local, elle ne quitte jamais votre appareil et n’est jamais envoyée vers un serveur. Si vous oubliez votre mot de passe VeraCrypt, vos données sont définitivement inaccessibles. Cette contrainte est une caractéristique de sécurité, pas un bug : elle garantit qu’aucune entité tierce ne peut accéder à vos données.
Conformité RGPD : quel outil pour les entreprises françaises ?
L’article 32 du RGPD exige des responsables de traitement et des sous-traitants qu’ils mettent en place des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données personnelles. Le chiffrement est explicitement mentionné dans l’article 32, paragraphe 1(a) comme exemple de mesure appropriée. En cas de violation de données sur des données chiffrées avec une clé non compromise, l’article 34 permet de s’exonérer de l’obligation de notification aux personnes concernées.
La CNIL, dans ses recommandations sur la sécurité des données, insiste sur la nécessité d’utiliser des algorithmes de chiffrement robustes et des clés de longueur suffisante. Elle publie des guides pratiques sur la sécurité des données disponibles sur son site officiel. L’ANSSI, de son côté, recommande dans ses référentiels cryptographiques l’utilisation d’AES-256 pour les données confidentielles, ce que supportent les deux outils.
Le point de friction principal entre BitLocker et le RGPD concerne l’escrow de clé. Si la clé de récupération BitLocker est stockée sur un compte Microsoft géré par des serveurs hors Union européenne (États-Unis notamment), ce transfert de clé constitue un traitement de donnée personnelle (la clé permet potentiellement d’accéder à des données personnelles) soumis aux exigences du Chapitre V du RGPD. Les entreprises utilisant BitLocker avec Azure AD dans une région EU de Microsoft peuvent s’en sortir avec un Data Processing Agreement approprié, mais la configuration doit être explicitement vérifiée.
VeraCrypt échappe entièrement à ce problème : aucune donnée n’est transmise à un tiers. Le chiffrement est local, la clé est locale, et le logiciel ne contient aucun mécanisme de télémétrie ou de rapportage. Pour une PME française qui traite des données de santé, des données judiciaires ou des données financières de clients, VeraCrypt offre une conformité RGPD intrinsèquement plus simple à documenter et à défendre devant la CNIL.
Pour les grandes entreprises avec des flottes Windows gérées centralement, BitLocker reste viable si la configuration est correctement documentée, si le stockage des clés de récupération se fait dans une région Azure EU et si les accords de traitement sont en place. C’est faisable, mais cela demande un effort de configuration intentionnel, pas une installation par défaut.
Compatibilité multiplateforme : Windows only contre universel
Le choix de la plateforme est souvent décisif. BitLocker est une solution exclusivement Windows. Si votre organisation utilise des Mac, des Linux, des FreeBSD ou des serveurs mixtes, BitLocker ne peut pas protéger ces systèmes. Les fichiers chiffrés avec BitLocker (format VHD/VHDX ou partition BitLocker) ne sont pas accessibles nativement sur macOS ou Linux, même avec des outils tiers.
| Système d’exploitation | VeraCrypt 1.26.27 | BitLocker |
|---|---|---|
| Windows 10/11 Pro | Oui | Oui |
| Windows 10/11 Home | Oui | Non (upgrade requis) |
| Windows Server | Oui | Oui (Data Center) |
| macOS 12 (Monterey) et ultérieur | Oui | Non |
| Linux (Ubuntu, Debian, Fedora…) | Oui | Non |
| FreeBSD 14+ | Oui | Non |
| OpenBSD 7.8+ | Oui | Non |
| Android / iOS | Non (pas d’app officielle) | Non |
VeraCrypt brille dans les environnements hétérogènes. Un cabinet de conseil dont les associés utilisent des MacBook Pro peut déployer VeraCrypt sur tous les appareils avec la même politique de chiffrement. Un développeur qui passe de Windows à Linux n’a pas besoin de rechiffrer ses conteneurs. Un consultant qui accède à ses fichiers depuis trois systèmes d’exploitation différents selon le client peut utiliser un seul volume VeraCrypt portable.
La version Linux de VeraCrypt 1.26.27 est disponible sous forme d’AppImage, ce qui simplifie le déploiement sur des distributions où VeraCrypt n’est pas dans les dépôts officiels. La version macOS nécessite l’installation de macFUSE comme dépendance. Ces étapes supplémentaires représentent un léger effort de configuration mais restent accessibles à un utilisateur technique.
5 cas d’usage réels : qui choisir selon votre situation ?
La meilleure façon de comparer VeraCrypt et BitLocker est de se placer dans des situations concrètes. Voici cinq scénarios représentatifs des utilisateurs en France et en Europe.
Cas 1 : la PME française avec 50 PC Windows sous contrôleur de domaine
Recommandation : BitLocker. Si tous vos appareils sont sous Windows 11 Pro ou Enterprise, gérés par une infrastructure Active Directory ou Microsoft Intune, BitLocker est le choix logique. Le déploiement est centralisé, les clés de récupération sont stockées dans Active Directory ou Azure AD, et la conformité RGPD est atteignable avec une configuration Azure EU. L’effort de déploiement est minimal, les utilisateurs ne voient aucun changement dans leur expérience. La condition : vérifier que le stockage des clés se fait dans une région Azure de l’UE et documenter le Data Processing Agreement avec Microsoft.
Cas 2 : le journaliste ou l’avocat avec des sources ou clients sensibles
Recommandation : VeraCrypt. La protection des sources journalistiques et le secret professionnel de l’avocat exigent que personne, pas même Microsoft, ne puisse accéder aux données chiffrées. VeraCrypt, avec ses volumes cachés et son absence totale d’escrow de clé, est la seule option qui garantit cette confidentialité absolue. Un journaliste qui traverse une frontière avec des sources chiffrées dans un volume caché VeraCrypt peut révéler le mot de passe du volume extérieur sans compromettre ses sources réelles.
Cas 3 : l’équipe de développement multi-OS (Windows + Mac + Linux)
Recommandation : VeraCrypt. BitLocker n’existe pas sur macOS ou Linux. VeraCrypt crée des conteneurs portables que tous les membres de l’équipe peuvent ouvrir, quel que soit leur système. Un développeur peut partager un conteneur VeraCrypt contenant des clés API, des certificats ou des configurations sensibles via un drive partagé, en distribuant le mot de passe par un canal sécurisé. Chaque membre le monte localement sur son OS, sans restriction de plateforme.
Cas 4 : l’étudiant ou le particulier sous Windows Home
Recommandation : VeraCrypt. BitLocker n’est pas disponible sous Windows Home, l’édition la plus répandue sur les PC grand public. VeraCrypt est gratuit, fonctionne parfaitement sur Windows Home, et ne demande aucun abonnement ni mise à niveau de Windows. Pour protéger un disque externe ou un répertoire de fichiers personnels sensibles (documents fiscaux, photos privées, données médicales), VeraCrypt est la solution la plus accessible et la plus efficace.
Cas 5 : le professionnel de santé avec des dossiers patients
Recommandation : VeraCrypt avec audit de conformité. Les données de santé sont des données sensibles au sens de l’article 9 du RGPD, soumises à des exigences renforcées. La HAS et la CNIL recommandent le chiffrement des postes de travail traitant des données de santé. VeraCrypt, sans escrow de clé, offre la garantie la plus simple que les données restent sous contrôle exclusif du responsable de traitement. La documentation de conformité est plus directe : aucun tiers ne peut accéder aux données chiffrées, point.
Guide de migration : changer de solution sans perdre ses données
Migrer d’un outil à l’autre n’est pas aussi complexe qu’il y paraît, mais demande un peu de méthode. Voici les étapes pour les deux scénarios les plus fréquents.
De BitLocker vers VeraCrypt
Étape 1 — Faites une sauvegarde complète de vos données sur un support externe non chiffré ou chiffré avec une clé dont vous avez le contrôle total.
Étape 2 — Dans les paramètres Windows (Panneau de configuration > Système et sécurité > Chiffrement de lecteur BitLocker), désactivez BitLocker sur le lecteur cible. Le déchiffrement peut prendre plusieurs heures selon la taille du disque et les performances de votre matériel.
Étape 3 — Téléchargez VeraCrypt 1.26.27 depuis le site officiel (veracrypt.fr) et vérifiez la signature PGP du package avant installation. Ne téléchargez jamais VeraCrypt depuis une source tierce.
Étape 4 — Lancez VeraCrypt et utilisez l’assistant de création de volume pour chiffrer le disque ou la partition désirée. Choisissez AES-256 pour les données standards, ou une cascade pour les données très sensibles. Choisissez un mot de passe fort d’au moins 20 caractères mêlant majuscules, minuscules, chiffres et symboles.
Étape 5 — Restaurez vos données depuis la sauvegarde vers le volume VeraCrypt monté.
De VeraCrypt vers BitLocker
Étape 1 — Montez le volume VeraCrypt, copiez toutes les données vers un emplacement temporaire non chiffré (disque externe ou dossier local). Démontez ensuite le volume.
Étape 2 — Vérifiez que votre édition Windows supporte BitLocker (Pro, Enterprise ou Education). Si vous êtes sur Windows Home, vous devez d’abord acheter la mise à niveau ou rester sur VeraCrypt.
Étape 3 — Activez BitLocker sur le lecteur cible via Panneau de configuration > Chiffrement de lecteur BitLocker. Sélectionnez AES-256 XTS dans les options avancées (la valeur par défaut peut être AES-128 selon la configuration de groupe).
Étape 4 — Sauvegardez la clé de récupération de 48 chiffres dans un endroit sécurisé. Si vous ne souhaitez pas l’envoyer vers Microsoft, imprimez-la et conservez-la dans un coffre physique. Attention : si votre compte Microsoft est connecté, le téléchargement automatique vers les serveurs Microsoft est la valeur par défaut.
Étape 5 — Copiez vos données vers le volume BitLocker nouvellement chiffré.
Tarifs et licences : gratuit contre inclus dans Windows Pro
La comparaison tarifaire entre VeraCrypt et BitLocker est simple mais nuancée.
| Élément | VeraCrypt | BitLocker |
|---|---|---|
| Coût du logiciel | 0 € (open source) | 0 € (inclus dans Windows Pro/Enterprise) |
| Prérequis système | Aucun (fonctionne sur Windows Home) | Windows Pro (licence retail ~199 $) |
| Mises à jour | Gratuites, indéfiniment | Incluses dans Windows Update |
| Support commercial | Communautaire (forums, documentation) | Microsoft Support (inclus dans licences Enterprise) |
| Déploiement entreprise | Gratuit mais effort manuel | Intégré dans Intune/SCCM (coût inclus dans licences) |
| Audit tiers | Gratuit (audit OSTIF public) | Payant à organiser soi-même (aucun public disponible) |
La réalité tarifaire est la suivante : si votre organisation dispose déjà de licences Windows Pro ou Enterprise, BitLocker n’a pas de coût supplémentaire. Pour un utilisateur sur Windows Home, BitLocker exige une mise à niveau vers Pro, soit environ 199 dollars en retail ou 99 dollars en mise à niveau numérique via Microsoft Store, ce qui constitue un coût réel. VeraCrypt est gratuit dans tous les cas.
Pour les entreprises, le coût réel de BitLocker inclut l’effort de configuration et de gestion des clés dans Active Directory ou Azure AD. Pour VeraCrypt, le coût inclut la définition d’une politique de mots de passe, la formation des utilisateurs et la mise en place d’un processus de récupération en cas d’oubli (qui, rappelons-le, n’est pas possible si le mot de passe est perdu, contrairement à BitLocker).
Opinions d’experts : ce que la communauté de sécurité en dit
La communauté de sécurité informatique a des positions assez tranchées sur le sujet, et elles convergent sur quelques points clés.
Kunal Ganglani, chercheur en sécurité, résume le consensus : “Dans un monde où les annonces de sécurité masquent souvent une ingénierie superficielle, la rigueur de VeraCrypt est exactement ce qui en fait le standard de référence pour le chiffrement open source en 2026.” Il souligne que la combinaison d’un code auditable, d’une absence d’escrow de clé et d’un support multiplateforme place VeraCrypt dans une catégorie à part pour les cas d’usage à haute confidentialité.
Du côté de BitLocker, les professionnels de l’IT enterprise défendent sa praticité. Les administrateurs système soulignent que “déployer BitLocker sur 500 PC en une matinée via Group Policy, c’est réaliste. Déployer VeraCrypt de façon uniforme sur le même parc sans une ingénierie significative, c’est un projet de plusieurs semaines.” Cet argument pratique est légitime dans les grandes organisations.
Sur la question de la sécurité fondamentale, Fireship, chaîne YouTube de référence pour les développeurs, a décrit BitLocker comme “pratique mais pas conçu pour protéger vos données de Microsoft” dans une vidéo comparant les outils de protection de la vie privée. ThePrimeagen, autre voix influente dans la communauté développeur, a affirmé préférer “toujours des outils open source et auditables pour tout ce qui touche au chiffrement de données sensibles, peu importe la commodité de l’intégration native.”
Les équipes de sécurité des grandes SSII françaises recommandent souvent une approche hybride : BitLocker pour les données opérationnelles d’entreprise sur des flottes Windows gérées, et VeraCrypt pour les données spécifiquement confidentielles (fichiers de clés, documents stratégiques, données personnelles hautement sensibles) nécessitant un contrôle total des clés.
Verdict : le bon outil selon votre contexte
Il n’existe pas de vainqueur absolu entre VeraCrypt et BitLocker. Les deux outils chiffrent efficacement, les deux utilisent AES-256, et les deux protègent correctement vos données contre un accès physique non autorisé dans des conditions normales. Mais ils ne sont pas interchangeables.
Choisissez VeraCrypt si :
- Vous utilisez Windows Home, macOS ou Linux (BitLocker n’est pas disponible) ;
- vous avez besoin de volumes cachés ou de déni plausible pour des données hautement sensibles ;
- la conformité RGPD sans transfert de clé vers un tiers est une exigence non négociable ;
- vous travaillez dans un environnement multi-OS ;
- vous souhaitez un audit public de sécurité pour justifier votre choix devant une autorité de contrôle ;
- vous avez besoin de conteneurs chiffrés portables (fichiers .hc sur clé USB ou cloud).
Choisissez BitLocker si :
- Vous gérez une flotte Windows Pro/Enterprise avec Active Directory ou Intune ;
- la priorité est le déploiement en masse sans friction pour les utilisateurs finaux ;
- vous pouvez configurer le stockage des clés de récupération dans une région Azure EU ;
- la vitesse de chiffrement est un critère important (15 à 20 % plus rapide que VeraCrypt sur SSD) ;
- vos données ne relèvent pas de catégories particulièrement sensibles au titre du RGPD.
Le chiffrement imparfait vaut mieux que l’absence de chiffrement. Si vous hésitez encore, commencez par VeraCrypt sur un volume de test. Son interface en français, ses assistants clairs et sa documentation complète en font un outil accessible bien au-delà du cercle des spécialistes. L’essentiel est de protéger vos données dès aujourd’hui, pas de passer trois semaines à optimiser le choix d’outil.
Couverture connexe
Articles liés sur shattered.io
- GPG : chiffrer fichiers et emails en 12 étapes – chiffrement asymétrique de fichiers individuels, complémentaire au chiffrement de disque
- TLS 1.3 vs TLS 1.2 : 40 % plus rapide, 5 CVE – chiffrement des communications réseau, pendant du chiffrement de disque
- OpenSSL : clés et certificats en 12 étapes – gestion pratique des clés cryptographiques
- Comparatif VPN 2026 : 5 services testés – protection du trafic réseau, couche complémentaire au chiffrement de disque
- bcrypt Node.js : hacher un mot de passe en 12 étapes – protection des mots de passe qui protègent vos volumes chiffrés
- Cybersécurité : tous nos guides et comparatifs – pilier du cluster sécurité
FAQ : VeraCrypt vs BitLocker
VeraCrypt est-il vraiment plus sûr que BitLocker ?
Sur le plan algorithmique, les deux sont équivalents avec AES-256. La différence de sécurité vient de la transparence : VeraCrypt a subi un audit public par QuarksLab/OSTIF, son code est entièrement lisible, et ses clés ne quittent jamais votre machine. BitLocker n’a aucun audit public disponible, son code source est propriétaire, et les clés sont envoyées par défaut vers Microsoft. Pour les données à haute valeur de confidentialité, VeraCrypt est structurellement plus sûr.
Peut-on utiliser BitLocker sur Windows Home ?
Non. BitLocker (le chiffrement complet) est réservé aux éditions Windows Pro, Enterprise et Education. Windows Home dispose d’une fonctionnalité limitée appelée “Device Encryption” qui s’active automatiquement sur les PC compatibles, mais sans les options de gestion avancées de BitLocker. Pour un chiffrement complet et configurable sur Windows Home, VeraCrypt est la seule alternative gratuite.
VeraCrypt ralentit-il significativement mon PC ?
Sur un processeur moderne supportant AES-NI (Intel Core depuis Sandy Bridge 2011, AMD Ryzen depuis 2017), l’impact est imperceptible lors de l’usage quotidien. En chiffrement AES-256 simple, VeraCrypt atteint 400 à 500 Mo/s sur SSD NVMe, ce qui est largement supérieur aux besoins des applications bureautiques. L’impact ne devient visible que lors de copies massives de fichiers volumineux, où BitLocker est 15 à 20 % plus rapide.
Que se passe-t-il si j’oublie le mot de passe VeraCrypt ?
Vos données sont définitivement inaccessibles. VeraCrypt n’implémente aucun mécanisme de récupération : il n’y a pas de question secrète, pas d’email de récupération, pas de clé envoyée vers un serveur. C’est une conséquence directe de son modèle de sécurité sans tiers. La meilleure pratique est de stocker le mot de passe dans un gestionnaire de mots de passe chiffré (Bitwarden, KeePass), ou d’imprimer une fiche de récupération et de la placer dans un coffre physique.
VeraCrypt est-il compatible avec le chiffrement BitLocker existant ?
Non. Les deux formats sont incompatibles. VeraCrypt ne peut pas lire ou déchiffrer un volume BitLocker, et BitLocker ne peut pas accéder à un volume VeraCrypt. La migration nécessite de déchiffrer le volume source (BitLocker ou VeraCrypt), puis de rechiffrer avec l’autre outil. Prévoyez l’espace disque nécessaire pour les données en clair pendant la migration et faites une sauvegarde complète avant de commencer.
La clé BitLocker envoyée à Microsoft est-elle vraiment un risque ?
Oui, dans certains contextes. Microsoft peut légalement recevoir des demandes d’autorités américaines (FBI, NSA via FISA) pour accéder aux clés stockées sur ses serveurs. Pour un utilisateur ordinaire avec des données personnelles non sensibles, ce risque est théorique. Pour un professionnel traitant des données confidentielles, des données de santé, des données couvertes par le secret professionnel ou des données stratégiques d’entreprise, ce risque est réel et documenté. Dans ces cas, VeraCrypt (sans escrow) est le choix approprié.
Peut-on combiner VeraCrypt et BitLocker ?
Oui, et c’est une approche valable pour certains scénarios. Une entreprise peut utiliser BitLocker pour chiffrer l’intégralité des disques de ses PC (protection contre le vol physique) et VeraCrypt pour créer des conteneurs chiffrés contenant les données les plus sensibles (protection contre la compromission de la clé BitLocker ou de Microsoft). Cette double couche ajoute de la complexité mais maximise la protection.
VeraCrypt est-il recommandé par l’ANSSI ?
L’ANSSI publie des référentiels cryptographiques qui recommandent l’usage d’AES-256 pour les données confidentielles, ce que VeraCrypt implémente correctement. L’ANSSI ne fait pas de recommandations de produits commerciaux ou open source spécifiques en général, mais ses guides de sécurité pour les PME et les administrations recommandent le chiffrement des postes de travail et des disques. VeraCrypt, avec AES-256 et son audit public, est conforme aux exigences cryptographiques de l’ANSSI.
