Un ordinateur portable volé dans un TGV, une clé USB oubliée dans un taxi parisien, un disque dur revendu sans effacement réel : dans chacun de ces cas, vos fichiers restent lisibles par celui qui les récupère, sauf si vous les avez chiffrés. VeraCrypt répond exactement à ce problème. Ce logiciel libre et gratuit chiffre un fichier conteneur, une partition entière ou même le disque système au démarrage, avec une cryptographie auditée et reconnue. La version stable 1.26.24, publiée le 30 mai 2025, fonctionne sous Windows, macOS et Linux.
Ce tutoriel vous accompagne pas à pas, de l’installation vérifiée jusqu’au volume caché à déni plausible, en passant par le chiffrement d’une clé USB et du disque système. Comptez 30 minutes pour un premier volume chiffré opérationnel, et environ une heure si vous chiffrez tout votre système. Chaque étape inclut des commandes réelles, des exemples de sortie, les pièges à éviter et un bloc de dépannage. À la fin, vous disposerez d’un projet complet : un conteneur chiffré monté automatiquement, sauvegardé et utilisable au quotidien.
| Élément | Détail (2026) |
|---|---|
| Version stable | VeraCrypt 1.26.24 (30 mai 2025) |
| Licence | Apache 2.0 / TrueCrypt License 3.0, gratuit |
| Plateformes | Windows 10/11, macOS 12+, Linux |
| Algorithme par défaut | AES-256 en mode XTS |
| Dérivation de clé | PBKDF2-HMAC, itérations élevées |
| Niveau de difficulté | Débutant à intermédiaire |
| Temps estimé | 30 à 60 minutes |
Pourquoi chiffrer vos données avec VeraCrypt en 2026
Le chiffrement de disque protège vos données « au repos », c’est-à-dire quand l’appareil est éteint, perdu ou saisi. Sans chiffrement, un mot de passe de session Windows ne sert à rien : il suffit de retirer le disque et de le brancher sur un autre ordinateur pour lire chaque fichier. VeraCrypt rend ces données illisibles sans la phrase secrète, même pour un attaquant qui contrôle physiquement le matériel.
En Europe, l’enjeu dépasse la vie privée personnelle. Le RGPD impose des « mesures techniques appropriées » pour protéger les données personnelles, et le chiffrement figure parmi les recommandations explicites des autorités. L’ANSSI, l’agence française de cybersécurité, recommande le chiffrement des supports nomades pour tout poste professionnel transportant des données sensibles. Une entreprise dont un salarié perd un portable chiffré n’a, en pratique, pas de fuite de données à notifier, alors qu’un portable non chiffré déclenche une obligation de notification sous 72 heures et un risque de sanction.
VeraCrypt se distingue des solutions intégrées comme BitLocker (Windows Pro) ou FileVault (macOS) sur trois points. D’abord, il est multiplateforme : un même conteneur s’ouvre sous Windows, macOS et Linux. Ensuite, il est entièrement open source et auditable, sans dépendance à un éditeur unique. Enfin, il offre le déni plausible via les volumes cachés, une fonction absente des outils commerciaux. Pour comprendre les briques cryptographiques sous-jacentes, consultez notre dossier sur les fonctions de hachage cryptographiques et notre pôle cryptographie.
VeraCrypt en bref : héritage de TrueCrypt et audits de sécurité
VeraCrypt est né en 2013 comme successeur de TrueCrypt, le logiciel de chiffrement de référence dont le développement s’est arrêté brutalement en mai 2014 avec un message énigmatique conseillant aux utilisateurs de migrer. Mounir Idrassi, développeur français basé à Paris, a repris le code, corrigé ses faiblesses et renforcé la dérivation de clé. Là où TrueCrypt utilisait quelques milliers d’itérations PBKDF2, VeraCrypt en applique des centaines de milliers, rendant les attaques par force brute beaucoup plus coûteuses.
Le code a été soumis à un audit indépendant en 2016, financé par l’OSTIF (Open Source Technology Improvement Fund) et conduit par le cabinet français QuarksLab. Cet audit a révélé plusieurs vulnérabilités, toutes corrigées dans les versions suivantes. Depuis, le projet maintient un rythme de publication régulier et a déjà traité des CVE récentes : CVE-2024-54187 et CVE-2025-23021 ont été corrigées dans la version 1.26.18, portant sur des problèmes de montage et de chemins sous Linux et macOS. Cette transparence est un argument de confiance que les solutions propriétaires ne peuvent pas offrir.
Un point d’actualité à connaître : début 2026, Microsoft a temporairement suspendu puis rétabli le compte développeur servant à signer les pilotes Windows et le chargeur d’amorçage UEFI de VeraCrypt. Une version de maintenance avec de nouveaux composants EFI signés a suivi. Cet épisode rappelle l’importance de toujours télécharger VeraCrypt depuis la source officielle et de vérifier les signatures, ce que nous faisons dès l’étape 1.
Prérequis et versions à installer
Avant de commencer, réunissez les éléments suivants. La vérification des versions évite les mauvaises surprises, en particulier sous Linux où les dépendances FUSE varient selon la distribution.
| Prérequis | Version minimale | Remarque |
|---|---|---|
| VeraCrypt | 1.26.24 | Dernière version stable, mai 2025 |
| Windows | 10 ou 11 (64 bits) | Support 32 bits abandonné depuis 1.26.18 |
| macOS | Monterey 12 ou plus | Build FUSE-T conseillé sur Apple Silicon |
| Linux | Noyau récent + FUSE | AppImage x86_64 et ARM64 disponibles |
| Espace disque | Taille du conteneur + 50 Mo | Prévoir large pour le volume |
| Droits | Administrateur / root | Requis pour partitions et système |
Côté matériel, n’importe quel processeur récent convient. Les puces Intel, AMD et ARM disposent depuis des années d’instructions AES-NI qui accélèrent le chiffrement AES de façon transparente. Sur un SSD NVMe moderne, l’impact du chiffrement sur les débits reste négligeable pour un usage bureautique. VeraCrypt 1.26.24 a même ajouté l’usage de l’instruction SHA-256 x86 pour accélérer la dérivation de clé PBKDF2-HMAC-SHA256, ainsi qu’un meilleur support matériel AES sur les plateformes ARM64.
Étape 1 : Télécharger et vérifier l’intégrité de VeraCrypt
Rendez-vous sur la page de téléchargement officielle et récupérez l’installeur correspondant à votre système, ainsi que le fichier de signature PGP (extension .sig). Ne téléchargez jamais VeraCrypt depuis un site tiers, un forum ou un lien sponsorisé : un installeur modifié pourrait contenir une porte dérobée. La vérification de signature garantit que le binaire provient bien du projet et n’a pas été altéré.
Sous Linux ou macOS, importez d’abord la clé PGP publique du projet, puis vérifiez la signature de l’installeur téléchargé :
# Importer la clé publique VeraCrypt
gpg --keyserver hkps://keys.openpgp.org --recv-keys 5069A233D55A0EEB174A5FC3821ACD02680D16DE
# Vérifier la signature de l'installeur
gpg --verify veracrypt-1.26.24-setup.tar.bz2.sig veracrypt-1.26.24-setup.tar.bz2Une signature valide affiche une sortie de ce type. La mention « Good signature » est l’élément à contrôler :
gpg: Signature made Fri 30 May 2025 11:42:18 CEST
gpg: using RSA key 5069A233D55A0EEB174A5FC3821ACD02680D16DE
gpg: Good signature from "VeraCrypt Team <[email protected]>" [unknown]L’avertissement « unknown » sur le niveau de confiance est normal tant que vous n’avez pas signé la clé localement. Ce qui compte, c’est l’empreinte de la clé et la mention « Good signature ». Sous Windows, vous pouvez utiliser Gpg4win pour la même vérification, ou comparer l’empreinte SHA-256 affichée sur la page officielle.
Étape 2 : Installer VeraCrypt sur votre système
Sous Windows, lancez l’installeur, acceptez la licence et choisissez le mode « Install » (plutôt que « Extract ») pour bénéficier du chiffrement système. Un redémarrage peut être demandé pour charger le pilote. Sous macOS, ouvrez le fichier .dmg et suivez l’assistant ; sur Apple Silicon, privilégiez le build FUSE-T recommandé par le projet.
Sous Linux, l’AppImage est la voie la plus simple et la plus universelle. Elle ne nécessite aucune installation système et fonctionne sur la plupart des distributions :
# Rendre l'AppImage exécutable
chmod +x VeraCrypt-1.26.24-x86_64.AppImage
# Lancer l'interface graphique
./VeraCrypt-1.26.24-x86_64.AppImage
# Ou utiliser la ligne de commande
./VeraCrypt-1.26.24-x86_64.AppImage --text --version
# Sortie attendue : VeraCrypt 1.26.24Si vous préférez une installation système classique sous Debian ou Ubuntu, téléchargez le paquet .deb officiel et installez-le avec sudo apt install ./veracrypt-1.26.24-Debian-12-amd64.deb. Le paquet ajoute la commande veracrypt au PATH ainsi qu’une entrée de menu graphique.
Étape 3 : Créer votre premier volume conteneur de fichiers
Un volume conteneur est un simple fichier (par exemple coffre.hc) qui se comporte comme un disque virtuel une fois monté. C’est l’option idéale pour débuter : aucun risque pour le système, et le fichier se déplace, se sauvegarde ou se synchronise comme n’importe quel autre. Dans l’interface VeraCrypt, cliquez sur « Create Volume », puis choisissez « Create an encrypted file container » et « Standard VeraCrypt volume ».
Indiquez ensuite l’emplacement et le nom du fichier. Choisissez une extension neutre si vous souhaitez la discrétion, mais évitez d’écraser un fichier existant : VeraCrypt remplace le contenu sans récupération possible. Définissez enfin la taille du conteneur. Pour des documents, 5 à 20 Go suffisent largement ; pour une sauvegarde photo, prévoyez davantage. La taille est fixe une fois le volume créé, alors anticipez vos besoins.
En ligne de commande, l’ensemble du processus se scripte. Voici la création d’un conteneur de 10 Go avec les paramètres par défaut robustes :
veracrypt --text --create /home/sam/coffre.hc \
--size 10G \
--encryption AES \
--hash sha-512 \
--filesystem exFAT \
--volume-type normal \
--pim 0 \
--keyfiles "" \
--random-source /dev/urandomLe système de fichiers exFAT est un bon choix multiplateforme, lisible sous Windows, macOS et Linux. Si le conteneur reste cantonné à Linux, ext4 offre de meilleures performances et la gestion des permissions Unix.
Étape 4 : Choisir l’algorithme de chiffrement et la fonction de hachage
VeraCrypt propose cinq algorithmes de chiffrement et plusieurs fonctions de hachage pour la dérivation de clé. Pour la quasi-totalité des utilisateurs, le couple par défaut AES-256 et SHA-512 est le bon choix : rapide grâce à l’accélération matérielle, normalisé et largement éprouvé. AES est défini par le standard FIPS 197 du NIST et reste la référence mondiale du chiffrement symétrique.
| Algorithme | Origine | Taille de clé | Vitesse relative | Recommandation |
|---|---|---|---|---|
| AES | NIST (Rijndael) | 256 bits | Très rapide (AES-NI) | Par défaut, idéal |
| Serpent | Concours AES | 256 bits | Lent | Marge de sécurité élevée |
| Twofish | Bruce Schneier | 256 bits | Moyenne | Bonne alternative |
| Camellia | NTT / Mitsubishi | 256 bits | Rapide | Standard japonais et UE |
| Kuznyechik | Standard russe GOST | 256 bits | Moyenne | Usage spécifique |
Les utilisateurs les plus prudents peuvent empiler les algorithmes en cascade, par exemple AES-Twofish-Serpent. Chaque bloc est alors chiffré trois fois avec trois clés indépendantes. La sécurité gagne en marge théorique, mais le débit chute fortement et le gain pratique est discutable face à un AES-256 déjà incassable par force brute. Pour un disque système ou un usage quotidien, restez sur AES seul.
Côté hachage, SHA-512 est solide et rapide. BLAKE2s est une alternative moderne et performante, tandis que Whirlpool et Streebog visent des contextes réglementaires précis. Ces fonctions servent à la dérivation de clé via PBKDF2, pas au chiffrement lui-même. Pour approfondir, lisez notre explication de SHA-256.
Étape 5 : Définir une phrase secrète forte et configurer le PIM
La sécurité de tout l’édifice repose sur votre phrase secrète. AES-256 est inviolable par force brute, mais un mot de passe faible le contourne totalement. Visez au minimum 20 caractères, idéalement une phrase de passe composée de plusieurs mots aléatoires. VeraCrypt accepte jusqu’à 64 caractères et recommande lui-même une longueur supérieure à 20 pour les volumes sensibles. Évitez les mots de passe réutilisés et stockez-les dans un gestionnaire dédié.
Le PIM (Personal Iterations Multiplier) est une fonction propre à VeraCrypt. Il contrôle le nombre d’itérations de la dérivation de clé. Laissé à zéro, VeraCrypt applique une valeur par défaut élevée pour les volumes non système. Une valeur PIM personnalisée plus haute renforce la résistance aux attaques hors ligne, au prix d’un temps de montage plus long. Un PIM agit aussi comme un second secret : sans connaître sa valeur, un attaquant ne peut pas monter le volume, même avec le bon mot de passe.
| Type de volume | PIM = 0 (défaut) | Effet d’un PIM élevé |
|---|---|---|
| Volume non système | Itérations élevées par défaut | Montage plus lent, force brute plus coûteuse |
| Volume système (boot) | Itérations adaptées au démarrage | Démarrage plus long |
| Effet secondaire | Aucun secret additionnel | PIM devient un second facteur à mémoriser |
Pour renforcer encore l’accès, ajoutez un fichier-clé (keyfile) : VeraCrypt combine alors votre mot de passe avec le contenu d’un fichier de votre choix, par exemple une image stockée sur une clé USB. Sans ce fichier, le volume reste inaccessible. Cette approche se rapproche d’une authentification à deux facteurs pour le chiffrement. Consultez notre guide sur la sécurité des mots de passe pour bâtir des phrases secrètes robustes.
Étape 6 : Générer l’entropie et formater le volume
Avant de créer le volume, VeraCrypt collecte de l’aléa pour générer les clés de chiffrement. Dans l’interface graphique, vous devez bouger la souris de façon aléatoire dans la fenêtre pendant au moins une trentaine de secondes. Plus vous bougez, plus l’entropie collectée est forte, et plus la barre de progression se remplit. Cet aléa est la matière première des clés : ne négligez pas cette étape.
Une fois l’entropie suffisante, cliquez sur « Format ». VeraCrypt écrit l’en-tête chiffré, génère les clés maîtres et formate le système de fichiers choisi. Pour un conteneur de 10 Go, l’opération prend quelques secondes en mode rapide. Pour une partition entière, l’écriture intégrale de données aléatoires peut durer plusieurs minutes à plusieurs heures selon la taille et la vitesse du disque.
Voici un exemple de sortie en ligne de commande lors de la création d’un conteneur. Le processus demande la phrase secrète puis confirme la réussite :
Enter password: ********************
Re-enter password: ********************
Enter PIM: 0
Enter keyfile [none]:
Done: 100.000% Speed: 412 MB/s Left: 0 s
The VeraCrypt volume has been successfully created.Étape 7 : Monter et utiliser votre volume chiffré
Un volume n’est lisible que lorsqu’il est « monté ». Dans l’interface, sélectionnez une lettre de lecteur libre (Windows) ou un point de montage (macOS, Linux), cliquez sur « Select File », choisissez votre conteneur, puis « Mount » et saisissez la phrase secrète. Le volume apparaît comme un disque normal. Vous y copiez vos fichiers, ils sont chiffrés à la volée, de façon transparente. Aucune donnée en clair ne touche le disque physique.
En ligne de commande, le montage est direct. Sous Linux, le volume est monté sur un point de montage que vous indiquez :
# Monter le conteneur sur /mnt/coffre
veracrypt --text --mount /home/sam/coffre.hc /mnt/coffre \
--pim 0 --keyfiles "" --protect-hidden no
# Lister les volumes montés
veracrypt --text --list
# Sortie : 1: /home/sam/coffre.hc /dev/mapper/veracrypt1 /mnt/coffre
# Copier des fichiers, puis travailler normalement
cp ~/documents-sensibles/*.pdf /mnt/coffre/Pendant que le volume est monté, traitez-le comme n’importe quel dossier. Les applications l’utilisent sans savoir qu’il est chiffré. Dès que vous démontez le volume, ou que l’ordinateur s’éteint, le contenu redevient un bloc de données illisibles. C’est précisément ce qui protège vos données en cas de vol ou de perte.
Étape 8 : Chiffrer une clé USB ou une partition entière
Au-delà du conteneur fichier, VeraCrypt chiffre des périphériques complets. Pour une clé USB nomade, c’est idéal : tout le contenu est protégé, et la perte de la clé n’expose aucune donnée. Dans « Create Volume », choisissez cette fois « Encrypt a non-system partition/drive », sélectionnez le périphérique, puis suivez le même assistant que pour un conteneur.
Attention, cette opération efface tout le contenu existant du périphérique. Sauvegardez vos fichiers avant de commencer. Identifiez bien le bon périphérique : sous Linux, vérifiez avec lsblk que vous ciblez la clé USB et non votre disque système. Une erreur de cible détruit des données irrécupérables.
# Identifier le bon périphérique avant toute chose
lsblk -o NAME,SIZE,TYPE,MOUNTPOINT
# sdb 28G disk <-- clé USB de 32 Go
# └─sdb1 28G part /media/usb
# Démonter avant de chiffrer
sudo umount /dev/sdb1
# Lancer VeraCrypt en mode partition (interface graphique conseillée ici)
veracrypt --text --create /dev/sdb1 --encryption AES --hash sha-512 \
--filesystem exFAT --volume-type normal --random-source /dev/urandomPour une clé USB destinée à circuler entre plusieurs systèmes, le format exFAT et l’algorithme AES garantissent une compatibilité maximale. Une fois la clé chiffrée, n’importe quel poste équipé de VeraCrypt pourra la monter avec la phrase secrète, sous Windows comme sous macOS ou Linux.
Étape 9 : Chiffrer le disque système au démarrage sous Windows
Le chiffrement système est la protection la plus complète : tout le disque, y compris Windows et vos fichiers temporaires, est chiffré. À chaque démarrage, un chargeur d’amorçage VeraCrypt demande la phrase secrète avant même que le système ne se lance. Sans elle, le disque est un bloc inerte. Cette fonction est disponible sous Windows ; sous Linux, on lui préfère généralement LUKS, intégré au noyau.
Dans l’interface, choisissez « System » puis « Encrypt the System Partition/Drive ». L’assistant vous guide à travers plusieurs étapes importantes. La première : créer un disque de secours (Rescue Disk). Ne sautez jamais cette étape. Si le chargeur d’amorçage est endommagé, ce disque est votre seul moyen de récupérer vos données. Gravez-le ou enregistrez l’image ISO en lieu sûr, hors de l’ordinateur chiffré.
VeraCrypt lance ensuite un test du chargeur d’amorçage : il redémarre l’ordinateur et vous demande la phrase secrète une première fois, sans encore chiffrer. Si ce test réussit, le chiffrement réel démarre et se déroule en arrière-plan pendant que vous continuez à travailler. Pour un SSD de 512 Go, comptez 30 à 90 minutes. Vous pouvez mettre le processus en pause et le reprendre.
Notez que sur les machines récentes en UEFI Secure Boot, il peut être nécessaire d’ajuster un réglage du firmware si le chargeur VeraCrypt n’est pas reconnu. L’épisode de signature de début 2026 a rendu cette compatibilité plus fluide avec les composants EFI re-signés, mais vérifiez toujours que vous utilisez la dernière version.
Étape 10 : Créer un volume caché pour le déni plausible
Le volume caché est la fonction signature de VeraCrypt. L’idée : à l’intérieur d’un volume chiffré classique (le volume « extérieur »), vous créez un second volume invisible, protégé par une phrase secrète différente. Selon le mot de passe saisi au montage, VeraCrypt ouvre soit le volume extérieur, soit le volume caché. Un observateur ne peut pas prouver l’existence du volume caché, car l’espace libre d’un volume VeraCrypt est rempli de données aléatoires indiscernables de données chiffrées.
Cette propriété offre un déni plausible : si vous êtes contraint de révéler un mot de passe, vous livrez celui du volume extérieur, qui contient des fichiers d’apparence sensible mais sans réelle valeur. Le volume caché, lui, reste secret. Pour créer ce dispositif, choisissez « Hidden VeraCrypt volume » dans l’assistant et suivez les deux phases : d’abord le volume extérieur, puis le volume caché logé dans son espace libre.
Une précaution essentielle : quand vous montez le volume extérieur pour y ajouter des fichiers leurres, activez la protection du volume caché. Sans elle, vous risquez d’écraser physiquement les données du volume caché en remplissant l’extérieur. VeraCrypt propose une option « Protect hidden volume » au montage, qui empêche cette corruption en demandant aussi le mot de passe caché.
# Monter le volume extérieur en protégeant le volume caché
veracrypt --text --mount /home/sam/coffre.hc /mnt/exterieur \
--protect-hidden yes
# VeraCrypt demande le mot de passe extérieur PUIS le mot de passe caché
# afin de connaître la zone à protéger contre l'écrasementÉtape 11 : Sauvegarder l’en-tête et adopter les bonnes pratiques
L’en-tête du volume (les premiers kilo-octets) contient les clés maîtres chiffrées. S’il est corrompu, par exemple par un secteur défectueux ou une coupure de courant pendant une écriture, vos données deviennent irrécupérables, même avec le bon mot de passe. VeraCrypt permet de sauvegarder cet en-tête via le menu « Tools » puis « Backup Volume Header ». Conservez cette sauvegarde séparément du volume.
Adoptez ensuite quelques réflexes durables. Démontez toujours vos volumes avant d’éteindre ou de mettre en veille prolongée. Ne stockez jamais la phrase secrète sur le même appareil que le volume. Sauvegardez régulièrement le contenu chiffré, car le chiffrement ne protège pas contre la panne matérielle ou la suppression accidentelle. Le chiffrement protège la confidentialité, pas la disponibilité. Pour comprendre comment les fuites surviennent malgré tout, lisez notre dossier sur les fuites de données.
Étape 12 : Démonter et automatiser vos montages
Le démontage est aussi important que le montage. Tant qu’un volume est monté, ses clés résident en mémoire vive et son contenu est accessible. Démontez dès que vous avez terminé. Dans l’interface, sélectionnez le volume et cliquez sur « Dismount » ou « Dismount All ». En ligne de commande, une seule commande suffit :
# Démonter un volume précis
veracrypt --text --dismount /mnt/coffre
# Démonter tous les volumes d'un coup
veracrypt --text --dismount
# Script de montage rapide (à protéger par chmod 700)
#!/bin/bash
VOL="/home/sam/coffre.hc"
MNT="/mnt/coffre"
veracrypt --text --mount "$VOL" "$MNT" --pim 0 --keyfiles "" \
--protect-hidden no && echo "Volume monté sur $MNT"Pour un usage régulier, vous pouvez configurer un démontage automatique après une période d’inactivité, dans « Settings » puis « Preferences ». Activez aussi « Dismount all when user session is locked » : dès que vous verrouillez votre session, VeraCrypt ferme les volumes. C’est une protection efficace contre l’accès opportuniste quand vous quittez votre poste quelques minutes.
Pièges courants à éviter avec VeraCrypt
Certaines erreurs reviennent systématiquement chez les débutants. Les connaître à l’avance vous évitera des pertes de données et des frustrations.
- Oublier la phrase secrète. Il n’existe aucune procédure de récupération. Pas de bouton « mot de passe oublié », pas de porte dérobée. Une phrase perdue signifie des données perdues définitivement. Stockez-la dans un gestionnaire de mots de passe fiable.
- Ne pas vérifier la signature du téléchargement. Un installeur piégé récupéré sur un site tiers peut exfiltrer vos clés. La vérification PGP de l’étape 1 n’est pas optionnelle.
- Cibler le mauvais périphérique. Chiffrer une partition efface son contenu. Confondre la clé USB avec le disque système détruit votre installation. Vérifiez toujours avec
lsblkou le gestionnaire de disques. - Sauter le disque de secours du chiffrement système. Sans Rescue Disk, un chargeur d’amorçage corrompu rend le système inaccessible. Créez-le et conservez-le hors de la machine.
- Remplir le volume extérieur sans protéger le volume caché. Vous écraseriez irrémédiablement les données cachées. Activez toujours « Protect hidden volume » au montage.
- Laisser un volume monté en permanence. Un volume monté annule la protection en cas de vol à chaud ou d’accès distant. Démontez dès la fin de votre travail.
Dépannage : résoudre les erreurs fréquentes
Voici les problèmes les plus signalés et leurs solutions, classés du plus courant au plus technique.
| Symptôme | Cause probable | Solution |
|---|---|---|
| « Incorrect password or not a VeraCrypt volume » | Mot de passe, PIM ou hachage erroné | Vérifier le PIM, la casse, le verrou majuscule et le bon fichier-clé |
| Le volume ne se monte pas sous Linux | FUSE absent ou non chargé | Installer le paquet fuse et relancer ; vérifier les droits root |
| Montage très lent (plusieurs secondes) | PIM élevé, comportement normal | Le délai protège contre la force brute ; patienter |
| Chargeur d’amorçage non reconnu (UEFI) | Secure Boot ou EFI non signé | Mettre à jour vers la dernière version, ajuster le firmware |
| « Operation not permitted » au montage partition | Droits insuffisants | Lancer avec sudo ou en administrateur |
| Lettre de lecteur indisponible (Windows) | Lettre déjà utilisée | Choisir une autre lettre libre dans la liste |
| Données illisibles après coupure de courant | En-tête de volume corrompu | Restaurer depuis la sauvegarde d’en-tête (Tools) |
| VeraCrypt ne démarre pas après mise à jour macOS | FUSE incompatible avec la nouvelle version d’OS | Installer le build FUSE-T recommandé pour Apple Silicon |
Si un volume refuse obstinément de se monter malgré le bon mot de passe, la cause la plus fréquente reste un PIM oublié. Si vous avez défini un PIM personnalisé à la création, vous devez le saisir au montage : sans lui, VeraCrypt teste la valeur par défaut et échoue. De même, si vous aviez ajouté un fichier-clé, il faut le fournir à nouveau. En dernier recours, la restauration de l’en-tête depuis une sauvegarde résout les corruptions matérielles.
Astuces avancées pour les utilisateurs expérimentés
Une fois les bases maîtrisées, plusieurs techniques renforcent votre dispositif. Combinez un fichier-clé stocké sur une YubiKey ou une clé USB dédiée avec votre phrase secrète : le volume devient inaccessible sans la présence physique de la clé, transformant le chiffrement en authentification à deux facteurs. Conservez une copie du fichier-clé en lieu sûr, car sa perte verrouille le volume aussi sûrement qu’un mot de passe oublié.
Pour les serveurs et les sauvegardes automatisées, scriptez le montage et le démontage avec des fichiers-clés plutôt que des mots de passe interactifs, et chiffrez le script lui-même ou stockez les secrets dans un coffre dédié. Sur les SSD, gardez à l’esprit que le TRIM et le nivellement d’usure peuvent laisser des traces ; pour le secret maximal, un volume sur partition entière sans TRIM offre une meilleure étanchéité que sur un système de fichiers hôte.
Enfin, pour une défense en profondeur, combinez VeraCrypt avec d’autres couches : chiffrement du transport via TLS pour les données en transit, et chiffrement applicatif pour les secrets les plus sensibles. Le chiffrement de disque protège au repos ; il ne remplace pas le chiffrement de bout en bout des communications. Notre article sur HTTPS et TLS détaille la protection des données en transit.
Projet complet : un coffre chiffré sauvegardé et automatisé
Pour consolider l’ensemble, voici le projet de référence à reproduire. Il combine création vérifiée, montage automatisé et démontage sécurisé. C’est la base d’un usage quotidien sûr.
#!/bin/bash
# Projet : coffre chiffré VeraCrypt, prêt à l'emploi
set -e
VOL="$HOME/Coffres/coffre.hc"
MNT="$HOME/Coffres/monte"
# 1. Créer le coffre s'il n'existe pas (10 Go, AES/SHA-512)
if [ ! -f "$VOL" ]; then
mkdir -p "$HOME/Coffres"
veracrypt --text --create "$VOL" --size 10G \
--encryption AES --hash sha-512 --filesystem exFAT \
--volume-type normal --pim 0 --keyfiles "" \
--random-source /dev/urandom
echo "Coffre créé : $VOL"
fi
# 2. Monter le coffre
mkdir -p "$MNT"
veracrypt --text --mount "$VOL" "$MNT" --pim 0 \
--keyfiles "" --protect-hidden no
echo "Coffre monté sur $MNT"
# 3. Travailler dans le coffre, puis démonter
read -p "Appuyez sur Entrée pour démonter en toute sécurité..."
veracrypt --text --dismount "$MNT"
echo "Coffre démonté. Données protégées au repos."Protégez ce script avec chmod 700, n’y inscrivez jamais le mot de passe en clair, et complétez-le par une sauvegarde régulière du conteneur vers un support externe et par une sauvegarde de l’en-tête. Avec ce socle, vous disposez d’un système de chiffrement professionnel, portable et auditable, comparable aux solutions d’entreprise tout en restant gratuit et sous votre contrôle.
VeraCrypt face à BitLocker et LUKS : quelle solution choisir
VeraCrypt n’est pas le seul outil de chiffrement de disque. Le tableau suivant le situe face à ses principales alternatives, pour vous aider à choisir selon votre contexte.
| Critère | VeraCrypt | BitLocker | LUKS |
|---|---|---|---|
| Plateformes | Windows, macOS, Linux | Windows Pro/Entreprise | Linux |
| Open source | Oui, audité | Non, propriétaire | Oui |
| Volume caché / déni plausible | Oui | Non | Non (natif) |
| Conteneur fichier | Oui | Limité (VHD) | Via fichier loop |
| Coût | Gratuit | Inclus (éditions Pro) | Gratuit |
| Idéal pour | Multiplateforme, nomadisme | Parc Windows homogène | Serveurs Linux |
Le choix dépend de votre environnement. Sur un parc 100 % Windows géré par une DSI, BitLocker s’intègre nativement à Active Directory et au TPM. Sur un serveur Linux, LUKS est la norme. VeraCrypt s’impose dès que vous avez besoin de portabilité entre systèmes, de conteneurs fichiers transportables, de déni plausible, ou simplement d’un code ouvert et auditable que vous ne dépendez d’aucun éditeur pour maintenir.
Foire aux questions sur VeraCrypt
VeraCrypt est-il vraiment gratuit et sûr en 2026 ?
Oui. VeraCrypt est un logiciel libre et gratuit, sans version payante ni publicité. Sa sécurité repose sur des algorithmes standardisés comme AES-256 et sur un audit indépendant mené par QuarksLab en 2016, dont toutes les failles ont été corrigées. Les CVE récentes, comme CVE-2025-23021, sont traitées rapidement. Téléchargez toujours depuis le site officiel et vérifiez la signature.
Puis-je récupérer mes données si j’oublie le mot de passe ?
Non. C’est le revers de la robustesse : il n’existe aucune porte dérobée ni procédure de récupération. Sans la phrase secrète exacte (et le PIM ou fichier-clé éventuels), les données sont définitivement perdues. Cette absence de récupération est une garantie de sécurité, pas un défaut. Stockez vos secrets dans un gestionnaire de mots de passe fiable.
VeraCrypt ralentit-il mon ordinateur ?
Très peu. Grâce aux instructions matérielles AES-NI présentes sur tous les processeurs récents, le chiffrement et le déchiffrement AES sont quasi instantanés. Sur un SSD moderne, l’impact sur les débits est imperceptible pour un usage bureautique. Seul le montage d’un volume avec PIM élevé prend quelques secondes supplémentaires, par conception.
Quelle est la différence entre un conteneur et une partition chiffrée ?
Un conteneur est un fichier unique qui se monte comme un disque virtuel ; il se déplace, se copie et se sauvegarde facilement. Une partition chiffrée occupe un périphérique entier (disque, clé USB), ce qui efface son contenu existant. Le conteneur convient pour débuter et pour des données spécifiques ; la partition pour protéger un support complet ou un système.
VeraCrypt résiste-t-il aux ordinateurs quantiques ?
AES-256 est considéré comme résistant au quantique pour le chiffrement symétrique : l’algorithme de Grover réduit sa sécurité effective à 128 bits, ce qui reste hors de portée. La menace quantique pèse surtout sur la cryptographie asymétrique (RSA, ECC), que VeraCrypt n’utilise pas pour le chiffrement des volumes. Pour ce sujet, consultez notre pôle cryptographie.
Le volume caché est-il indétectable ?
En théorie, oui. L’espace libre d’un volume VeraCrypt est rempli de données aléatoires, indiscernables d’un volume caché chiffré. Personne ne peut prouver cryptographiquement qu’un volume caché existe. En pratique, des indices indirects (fichiers récents, traces logicielles) peuvent éveiller des soupçons. Le déni plausible est une couche de protection, pas une garantie absolue.
VeraCrypt est-il conforme au RGPD ?
VeraCrypt fournit le chiffrement fort que le RGPD recommande comme mesure technique de protection des données personnelles. Chiffrer les supports nomades réduit fortement le risque en cas de perte ou de vol. La conformité RGPD globale dépend toutefois de l’ensemble de vos pratiques (gestion des accès, registres, durées de conservation), pas du seul chiffrement.
Related Coverage
- Cryptographie et fonctions de hachage : le socle de la confiance numérique
- SHA-256 expliqué : l’empreinte de 256 bits qui sécurise le web
- Les fonctions de hachage cryptographiques : principes et usages
- Sécurité des mots de passe : longueur, hachage et gestionnaires
- Fuites de données : comment elles surviennent et comment s’en protéger
- HTTPS et TLS : comment votre connexion est protégée
Sources et ressources officielles : site officiel VeraCrypt, documentation VeraCrypt, résultats de l’audit OSTIF, standard FIPS 197 (AES) du NIST et recommandations de l’ANSSI.
