{"id":63,"date":"2026-06-11T20:24:16","date_gmt":"2026-06-11T20:24:16","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/11\/veracrypt-chiffrer-disque-tutoriel\/"},"modified":"2026-06-11T20:25:39","modified_gmt":"2026-06-11T20:25:39","slug":"veracrypt-chiffrer-disque-tutoriel","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/11\/veracrypt-chiffrer-disque-tutoriel\/","title":{"rendered":"VeraCrypt : chiffrer un disque en 12 \u00e9tapes [2026]"},"content":{"rendered":"\n

Un ordinateur portable vol\u00e9 dans un TGV, une cl\u00e9 USB oubli\u00e9e dans un taxi parisien, un disque dur revendu sans effacement r\u00e9el : dans chacun de ces cas, vos fichiers restent lisibles par celui qui les r\u00e9cup\u00e8re, sauf si vous les avez chiffr\u00e9s. VeraCrypt<\/strong> r\u00e9pond exactement \u00e0 ce probl\u00e8me. Ce logiciel libre et gratuit chiffre un fichier conteneur, une partition enti\u00e8re ou m\u00eame le disque syst\u00e8me au d\u00e9marrage, avec une cryptographie audit\u00e9e et reconnue. La version stable 1.26.24, publi\u00e9e le 30 mai 2025, fonctionne sous Windows, macOS et Linux.<\/p>\n\n\n\n

Ce tutoriel vous accompagne pas \u00e0 pas, de l’installation v\u00e9rifi\u00e9e jusqu’au volume cach\u00e9 \u00e0 d\u00e9ni plausible, en passant par le chiffrement d’une cl\u00e9 USB et du disque syst\u00e8me. Comptez 30 minutes pour un premier volume chiffr\u00e9 op\u00e9rationnel, et environ une heure si vous chiffrez tout votre syst\u00e8me. Chaque \u00e9tape inclut des commandes r\u00e9elles, des exemples de sortie, les pi\u00e8ges \u00e0 \u00e9viter et un bloc de d\u00e9pannage. \u00c0 la fin, vous disposerez d’un projet complet : un conteneur chiffr\u00e9 mont\u00e9 automatiquement, sauvegard\u00e9 et utilisable au quotidien.<\/p>\n\n\n\n

\u00c9l\u00e9ment<\/th>D\u00e9tail (2026)<\/th><\/tr><\/thead>
Version stable<\/td>VeraCrypt 1.26.24 (30 mai 2025)<\/td><\/tr>
Licence<\/td>Apache 2.0 \/ TrueCrypt License 3.0, gratuit<\/td><\/tr>
Plateformes<\/td>Windows 10\/11, macOS 12+, Linux<\/td><\/tr>
Algorithme par d\u00e9faut<\/td>AES-256 en mode XTS<\/td><\/tr>
D\u00e9rivation de cl\u00e9<\/td>PBKDF2-HMAC, it\u00e9rations \u00e9lev\u00e9es<\/td><\/tr>
Niveau de difficult\u00e9<\/td>D\u00e9butant \u00e0 interm\u00e9diaire<\/td><\/tr>
Temps estim\u00e9<\/td>30 \u00e0 60 minutes<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Pourquoi chiffrer vos donn\u00e9es avec VeraCrypt en 2026<\/h2>\n\n\n\n

Le chiffrement de disque prot\u00e8ge vos donn\u00e9es \u00ab au repos \u00bb, c’est-\u00e0-dire quand l’appareil est \u00e9teint, perdu ou saisi. Sans chiffrement, un mot de passe de session Windows ne sert \u00e0 rien : il suffit de retirer le disque et de le brancher sur un autre ordinateur pour lire chaque fichier. VeraCrypt rend ces donn\u00e9es illisibles sans la phrase secr\u00e8te, m\u00eame pour un attaquant qui contr\u00f4le physiquement le mat\u00e9riel.<\/p>\n\n\n\n

En Europe, l’enjeu d\u00e9passe la vie priv\u00e9e personnelle. Le RGPD impose des \u00ab mesures techniques appropri\u00e9es \u00bb pour prot\u00e9ger les donn\u00e9es personnelles, et le chiffrement figure parmi les recommandations explicites des autorit\u00e9s. L’ANSSI, l’agence fran\u00e7aise de cybers\u00e9curit\u00e9, recommande le chiffrement des supports nomades pour tout poste professionnel transportant des donn\u00e9es sensibles. Une entreprise dont un salari\u00e9 perd un portable chiffr\u00e9 n’a, en pratique, pas de fuite de donn\u00e9es \u00e0 notifier, alors qu’un portable non chiffr\u00e9 d\u00e9clenche une obligation de notification sous 72 heures et un risque de sanction.<\/p>\n\n\n\n

VeraCrypt se distingue des solutions int\u00e9gr\u00e9es comme BitLocker (Windows Pro) ou FileVault (macOS) sur trois points. D’abord, il est multiplateforme : un m\u00eame conteneur s’ouvre sous Windows, macOS et Linux. Ensuite, il est enti\u00e8rement open source et auditable, sans d\u00e9pendance \u00e0 un \u00e9diteur unique. Enfin, il offre le d\u00e9ni plausible via les volumes cach\u00e9s, une fonction absente des outils commerciaux. Pour comprendre les briques cryptographiques sous-jacentes, consultez notre dossier sur les fonctions de hachage cryptographiques<\/a> et notre p\u00f4le cryptographie<\/a>.<\/p>\n\n\n\n

VeraCrypt en bref : h\u00e9ritage de TrueCrypt et audits de s\u00e9curit\u00e9<\/h2>\n\n\n\n

VeraCrypt est n\u00e9 en 2013 comme successeur de TrueCrypt, le logiciel de chiffrement de r\u00e9f\u00e9rence dont le d\u00e9veloppement s’est arr\u00eat\u00e9 brutalement en mai 2014 avec un message \u00e9nigmatique conseillant aux utilisateurs de migrer. Mounir Idrassi, d\u00e9veloppeur fran\u00e7ais bas\u00e9 \u00e0 Paris, a repris le code, corrig\u00e9 ses faiblesses et renforc\u00e9 la d\u00e9rivation de cl\u00e9. L\u00e0 o\u00f9 TrueCrypt utilisait quelques milliers d’it\u00e9rations PBKDF2, VeraCrypt en applique des centaines de milliers, rendant les attaques par force brute beaucoup plus co\u00fbteuses.<\/p>\n\n\n\n

Le code a \u00e9t\u00e9 soumis \u00e0 un audit ind\u00e9pendant en 2016, financ\u00e9 par l’OSTIF (Open Source Technology Improvement Fund) et conduit par le cabinet fran\u00e7ais QuarksLab. Cet audit a r\u00e9v\u00e9l\u00e9 plusieurs vuln\u00e9rabilit\u00e9s, toutes corrig\u00e9es dans les versions suivantes. Depuis, le projet maintient un rythme de publication r\u00e9gulier et a d\u00e9j\u00e0 trait\u00e9 des CVE r\u00e9centes : CVE-2024-54187 et CVE-2025-23021 ont \u00e9t\u00e9 corrig\u00e9es dans la version 1.26.18, portant sur des probl\u00e8mes de montage et de chemins sous Linux et macOS. Cette transparence est un argument de confiance que les solutions propri\u00e9taires ne peuvent pas offrir.<\/p>\n\n\n\n

Un point d’actualit\u00e9 \u00e0 conna\u00eetre : d\u00e9but 2026, Microsoft a temporairement suspendu puis r\u00e9tabli le compte d\u00e9veloppeur servant \u00e0 signer les pilotes Windows et le chargeur d’amor\u00e7age UEFI de VeraCrypt. Une version de maintenance avec de nouveaux composants EFI sign\u00e9s a suivi. Cet \u00e9pisode rappelle l’importance de toujours t\u00e9l\u00e9charger VeraCrypt depuis la source officielle et de v\u00e9rifier les signatures, ce que nous faisons d\u00e8s l’\u00e9tape 1.<\/p>\n\n\n\n

Pr\u00e9requis et versions \u00e0 installer<\/h2>\n\n\n\n

Avant de commencer, r\u00e9unissez les \u00e9l\u00e9ments suivants. La v\u00e9rification des versions \u00e9vite les mauvaises surprises, en particulier sous Linux o\u00f9 les d\u00e9pendances FUSE varient selon la distribution.<\/p>\n\n\n\n

Pr\u00e9requis<\/th>Version minimale<\/th>Remarque<\/th><\/tr><\/thead>
VeraCrypt<\/td>1.26.24<\/td>Derni\u00e8re version stable, mai 2025<\/td><\/tr>
Windows<\/td>10 ou 11 (64 bits)<\/td>Support 32 bits abandonn\u00e9 depuis 1.26.18<\/td><\/tr>
macOS<\/td>Monterey 12 ou plus<\/td>Build FUSE-T conseill\u00e9 sur Apple Silicon<\/td><\/tr>
Linux<\/td>Noyau r\u00e9cent + FUSE<\/td>AppImage x86_64 et ARM64 disponibles<\/td><\/tr>
Espace disque<\/td>Taille du conteneur + 50 Mo<\/td>Pr\u00e9voir large pour le volume<\/td><\/tr>
Droits<\/td>Administrateur \/ root<\/td>Requis pour partitions et syst\u00e8me<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

C\u00f4t\u00e9 mat\u00e9riel, n’importe quel processeur r\u00e9cent convient. Les puces Intel, AMD et ARM disposent depuis des ann\u00e9es d’instructions AES-NI qui acc\u00e9l\u00e8rent le chiffrement AES de fa\u00e7on transparente. Sur un SSD NVMe moderne, l’impact du chiffrement sur les d\u00e9bits reste n\u00e9gligeable pour un usage bureautique. VeraCrypt 1.26.24 a m\u00eame ajout\u00e9 l’usage de l’instruction SHA-256 x86 pour acc\u00e9l\u00e9rer la d\u00e9rivation de cl\u00e9 PBKDF2-HMAC-SHA256, ainsi qu’un meilleur support mat\u00e9riel AES sur les plateformes ARM64.<\/p>\n\n\n\n

\u00c9tape 1 : T\u00e9l\u00e9charger et v\u00e9rifier l’int\u00e9grit\u00e9 de VeraCrypt<\/h2>\n\n\n\n

Rendez-vous sur la page de t\u00e9l\u00e9chargement officielle et r\u00e9cup\u00e9rez l’installeur correspondant \u00e0 votre syst\u00e8me, ainsi que le fichier de signature PGP (extension .sig). Ne t\u00e9l\u00e9chargez jamais VeraCrypt depuis un site tiers, un forum ou un lien sponsoris\u00e9 : un installeur modifi\u00e9 pourrait contenir une porte d\u00e9rob\u00e9e. La v\u00e9rification de signature garantit que le binaire provient bien du projet et n’a pas \u00e9t\u00e9 alt\u00e9r\u00e9.<\/p>\n\n\n\n

Sous Linux ou macOS, importez d’abord la cl\u00e9 PGP publique du projet, puis v\u00e9rifiez la signature de l’installeur t\u00e9l\u00e9charg\u00e9 :<\/p>\n\n\n\n

# Importer la cl\u00e9 publique VeraCrypt\ngpg --keyserver hkps:\/\/keys.openpgp.org --recv-keys 5069A233D55A0EEB174A5FC3821ACD02680D16DE\n\n# V\u00e9rifier la signature de l'installeur\ngpg --verify veracrypt-1.26.24-setup.tar.bz2.sig veracrypt-1.26.24-setup.tar.bz2<\/code><\/pre>\n\n\n\n
Une signature valide affiche une sortie de ce type. La mention \u00ab Good signature \u00bb est l’\u00e9l\u00e9ment \u00e0 contr\u00f4ler :<\/p>\n\n\n\n
gpg: Signature made Fri 30 May 2025 11:42:18 CEST\ngpg:                using RSA key 5069A233D55A0EEB174A5FC3821ACD02680D16DE\ngpg: Good signature from \"VeraCrypt Team <veracrypt@idrix.fr>\" [unknown]<\/code><\/pre>\n\n\n\n
L’avertissement \u00ab unknown \u00bb sur le niveau de confiance est normal tant que vous n’avez pas sign\u00e9 la cl\u00e9 localement. Ce qui compte, c’est l’empreinte de la cl\u00e9 et la mention \u00ab Good signature \u00bb. Sous Windows, vous pouvez utiliser Gpg4win pour la m\u00eame v\u00e9rification, ou comparer l’empreinte SHA-256 affich\u00e9e sur la page officielle.<\/p>\n\n\n\n
\u00c9tape 2 : Installer VeraCrypt sur votre syst\u00e8me<\/h2>\n\n\n\n
Sous Windows, lancez l’installeur, acceptez la licence et choisissez le mode \u00ab Install \u00bb (plut\u00f4t que \u00ab Extract \u00bb) pour b\u00e9n\u00e9ficier du chiffrement syst\u00e8me. Un red\u00e9marrage peut \u00eatre demand\u00e9 pour charger le pilote. Sous macOS, ouvrez le fichier .dmg et suivez l’assistant ; sur Apple Silicon, privil\u00e9giez le build FUSE-T recommand\u00e9 par le projet.<\/p>\n\n\n\n
Sous Linux, l’AppImage est la voie la plus simple et la plus universelle. Elle ne n\u00e9cessite aucune installation syst\u00e8me et fonctionne sur la plupart des distributions :<\/p>\n\n\n\n
# Rendre l'AppImage ex\u00e9cutable\nchmod +x VeraCrypt-1.26.24-x86_64.AppImage\n\n# Lancer l'interface graphique\n.\/VeraCrypt-1.26.24-x86_64.AppImage\n\n# Ou utiliser la ligne de commande\n.\/VeraCrypt-1.26.24-x86_64.AppImage --text --version\n# Sortie attendue : VeraCrypt 1.26.24<\/code><\/pre>\n\n\n\n
Si vous pr\u00e9f\u00e9rez une installation syst\u00e8me classique sous Debian ou Ubuntu, t\u00e9l\u00e9chargez le paquet .deb officiel et installez-le avec sudo apt install .\/veracrypt-1.26.24-Debian-12-amd64.deb<\/code>. Le paquet ajoute la commande veracrypt<\/code> au PATH ainsi qu’une entr\u00e9e de menu graphique.<\/p>\n\n\n\n
\u00c9tape 3 : Cr\u00e9er votre premier volume conteneur de fichiers<\/h2>\n\n\n\n
Un volume conteneur est un simple fichier (par exemple coffre.hc<\/code>) qui se comporte comme un disque virtuel une fois mont\u00e9. C’est l’option id\u00e9ale pour d\u00e9buter : aucun risque pour le syst\u00e8me, et le fichier se d\u00e9place, se sauvegarde ou se synchronise comme n’importe quel autre. Dans l’interface VeraCrypt, cliquez sur \u00ab Create Volume \u00bb, puis choisissez \u00ab Create an encrypted file container \u00bb et \u00ab Standard VeraCrypt volume \u00bb.<\/p>\n\n\n\n
Indiquez ensuite l’emplacement et le nom du fichier. Choisissez une extension neutre si vous souhaitez la discr\u00e9tion, mais \u00e9vitez d’\u00e9craser un fichier existant : VeraCrypt remplace le contenu sans r\u00e9cup\u00e9ration possible. D\u00e9finissez enfin la taille du conteneur. Pour des documents, 5 \u00e0 20 Go suffisent largement ; pour une sauvegarde photo, pr\u00e9voyez davantage. La taille est fixe une fois le volume cr\u00e9\u00e9, alors anticipez vos besoins.<\/p>\n\n\n\n
En ligne de commande, l’ensemble du processus se scripte. Voici la cr\u00e9ation d’un conteneur de 10 Go avec les param\u00e8tres par d\u00e9faut robustes :<\/p>\n\n\n\n
veracrypt --text --create \/home\/sam\/coffre.hc \\\n  --size 10G \\\n  --encryption AES \\\n  --hash sha-512 \\\n  --filesystem exFAT \\\n  --volume-type normal \\\n  --pim 0 \\\n  --keyfiles \"\" \\\n  --random-source \/dev\/urandom<\/code><\/pre>\n\n\n\n
Le syst\u00e8me de fichiers exFAT est un bon choix multiplateforme, lisible sous Windows, macOS et Linux. Si le conteneur reste cantonn\u00e9 \u00e0 Linux, ext4 offre de meilleures performances et la gestion des permissions Unix.<\/p>\n\n\n\n
\u00c9tape 4 : Choisir l’algorithme de chiffrement et la fonction de hachage<\/h2>\n\n\n\n
VeraCrypt propose cinq algorithmes de chiffrement et plusieurs fonctions de hachage pour la d\u00e9rivation de cl\u00e9. Pour la quasi-totalit\u00e9 des utilisateurs, le couple par d\u00e9faut AES-256 et SHA-512 est le bon choix : rapide gr\u00e2ce \u00e0 l’acc\u00e9l\u00e9ration mat\u00e9rielle, normalis\u00e9 et largement \u00e9prouv\u00e9. AES est d\u00e9fini par le standard FIPS 197 du NIST et reste la r\u00e9f\u00e9rence mondiale du chiffrement sym\u00e9trique.<\/p>\n\n\n\n
Algorithme<\/th>Origine<\/th>Taille de cl\u00e9<\/th>Vitesse relative<\/th>Recommandation<\/th><\/tr><\/thead>
AES<\/td>NIST (Rijndael)<\/td>256 bits<\/td>Tr\u00e8s rapide (AES-NI)<\/td>Par d\u00e9faut, id\u00e9al<\/td><\/tr>
Serpent<\/td>Concours AES<\/td>256 bits<\/td>Lent<\/td>Marge de s\u00e9curit\u00e9 \u00e9lev\u00e9e<\/td><\/tr>
Twofish<\/td>Bruce Schneier<\/td>256 bits<\/td>Moyenne<\/td>Bonne alternative<\/td><\/tr>
Camellia<\/td>NTT \/ Mitsubishi<\/td>256 bits<\/td>Rapide<\/td>Standard japonais et UE<\/td><\/tr>
Kuznyechik<\/td>Standard russe GOST<\/td>256 bits<\/td>Moyenne<\/td>Usage sp\u00e9cifique<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
Les utilisateurs les plus prudents peuvent empiler les algorithmes en cascade, par exemple AES-Twofish-Serpent. Chaque bloc est alors chiffr\u00e9 trois fois avec trois cl\u00e9s ind\u00e9pendantes. La s\u00e9curit\u00e9 gagne en marge th\u00e9orique, mais le d\u00e9bit chute fortement et le gain pratique est discutable face \u00e0 un AES-256 d\u00e9j\u00e0 incassable par force brute. Pour un disque syst\u00e8me ou un usage quotidien, restez sur AES seul.<\/p>\n\n\n\n
C\u00f4t\u00e9 hachage, SHA-512 est solide et rapide. BLAKE2s est une alternative moderne et performante, tandis que Whirlpool et Streebog visent des contextes r\u00e9glementaires pr\u00e9cis. Ces fonctions servent \u00e0 la d\u00e9rivation de cl\u00e9 via PBKDF2, pas au chiffrement lui-m\u00eame. Pour approfondir, lisez notre explication de SHA-256<\/a>.<\/p>\n\n\n\n
\u00c9tape 5 : D\u00e9finir une phrase secr\u00e8te forte et configurer le PIM<\/h2>\n\n\n\n
La s\u00e9curit\u00e9 de tout l’\u00e9difice repose sur votre phrase secr\u00e8te. AES-256 est inviolable par force brute, mais un mot de passe faible le contourne totalement. Visez au minimum 20 caract\u00e8res, id\u00e9alement une phrase de passe compos\u00e9e de plusieurs mots al\u00e9atoires. VeraCrypt accepte jusqu’\u00e0 64 caract\u00e8res et recommande lui-m\u00eame une longueur sup\u00e9rieure \u00e0 20 pour les volumes sensibles. \u00c9vitez les mots de passe r\u00e9utilis\u00e9s et stockez-les dans un gestionnaire d\u00e9di\u00e9.<\/p>\n\n\n\n
Le PIM (Personal Iterations Multiplier) est une fonction propre \u00e0 VeraCrypt. Il contr\u00f4le le nombre d’it\u00e9rations de la d\u00e9rivation de cl\u00e9. Laiss\u00e9 \u00e0 z\u00e9ro, VeraCrypt applique une valeur par d\u00e9faut \u00e9lev\u00e9e pour les volumes non syst\u00e8me. Une valeur PIM personnalis\u00e9e plus haute renforce la r\u00e9sistance aux attaques hors ligne, au prix d’un temps de montage plus long. Un PIM agit aussi comme un second secret : sans conna\u00eetre sa valeur, un attaquant ne peut pas monter le volume, m\u00eame avec le bon mot de passe.<\/p>\n\n\n\n
Type de volume<\/th>PIM = 0 (d\u00e9faut)<\/th>Effet d’un PIM \u00e9lev\u00e9<\/th><\/tr><\/thead>
Volume non syst\u00e8me<\/td>It\u00e9rations \u00e9lev\u00e9es par d\u00e9faut<\/td>Montage plus lent, force brute plus co\u00fbteuse<\/td><\/tr>
Volume syst\u00e8me (boot)<\/td>It\u00e9rations adapt\u00e9es au d\u00e9marrage<\/td>D\u00e9marrage plus long<\/td><\/tr>
Effet secondaire<\/td>Aucun secret additionnel<\/td>PIM devient un second facteur \u00e0 m\u00e9moriser<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
Pour renforcer encore l’acc\u00e8s, ajoutez un fichier-cl\u00e9 (keyfile) : VeraCrypt combine alors votre mot de passe avec le contenu d’un fichier de votre choix, par exemple une image stock\u00e9e sur une cl\u00e9 USB. Sans ce fichier, le volume reste inaccessible. Cette approche se rapproche d’une authentification \u00e0 deux facteurs pour le chiffrement. Consultez notre guide sur la s\u00e9curit\u00e9 des mots de passe<\/a> pour b\u00e2tir des phrases secr\u00e8tes robustes.<\/p>\n\n\n\n
\u00c9tape 6 : G\u00e9n\u00e9rer l’entropie et formater le volume<\/h2>\n\n\n\n
Avant de cr\u00e9er le volume, VeraCrypt collecte de l’al\u00e9a pour g\u00e9n\u00e9rer les cl\u00e9s de chiffrement. Dans l’interface graphique, vous devez bouger la souris de fa\u00e7on al\u00e9atoire dans la fen\u00eatre pendant au moins une trentaine de secondes. Plus vous bougez, plus l’entropie collect\u00e9e est forte, et plus la barre de progression se remplit. Cet al\u00e9a est la mati\u00e8re premi\u00e8re des cl\u00e9s : ne n\u00e9gligez pas cette \u00e9tape.<\/p>\n\n\n\n
Une fois l’entropie suffisante, cliquez sur \u00ab Format \u00bb. VeraCrypt \u00e9crit l’en-t\u00eate chiffr\u00e9, g\u00e9n\u00e8re les cl\u00e9s ma\u00eetres et formate le syst\u00e8me de fichiers choisi. Pour un conteneur de 10 Go, l’op\u00e9ration prend quelques secondes en mode rapide. Pour une partition enti\u00e8re, l’\u00e9criture int\u00e9grale de donn\u00e9es al\u00e9atoires peut durer plusieurs minutes \u00e0 plusieurs heures selon la taille et la vitesse du disque.<\/p>\n\n\n\n
Voici un exemple de sortie en ligne de commande lors de la cr\u00e9ation d’un conteneur. Le processus demande la phrase secr\u00e8te puis confirme la r\u00e9ussite :<\/p>\n\n\n\n
Enter password: ********************\nRe-enter password: ********************\nEnter PIM: 0\nEnter keyfile [none]:\n\nDone: 100.000%  Speed: 412 MB\/s  Left: 0 s\n\nThe VeraCrypt volume has been successfully created.<\/code><\/pre>\n\n\n\n
\u00c9tape 7 : Monter et utiliser votre volume chiffr\u00e9<\/h2>\n\n\n\n
Un volume n’est lisible que lorsqu’il est \u00ab mont\u00e9 \u00bb. Dans l’interface, s\u00e9lectionnez une lettre de lecteur libre (Windows) ou un point de montage (macOS, Linux), cliquez sur \u00ab Select File \u00bb, choisissez votre conteneur, puis \u00ab Mount \u00bb et saisissez la phrase secr\u00e8te. Le volume appara\u00eet comme un disque normal. Vous y copiez vos fichiers, ils sont chiffr\u00e9s \u00e0 la vol\u00e9e, de fa\u00e7on transparente. Aucune donn\u00e9e en clair ne touche le disque physique.<\/p>\n\n\n\n
En ligne de commande, le montage est direct. Sous Linux, le volume est mont\u00e9 sur un point de montage que vous indiquez :<\/p>\n\n\n\n
# Monter le conteneur sur \/mnt\/coffre\nveracrypt --text --mount \/home\/sam\/coffre.hc \/mnt\/coffre \\\n  --pim 0 --keyfiles \"\" --protect-hidden no\n\n# Lister les volumes mont\u00e9s\nveracrypt --text --list\n# Sortie : 1: \/home\/sam\/coffre.hc \/dev\/mapper\/veracrypt1 \/mnt\/coffre\n\n# Copier des fichiers, puis travailler normalement\ncp ~\/documents-sensibles\/*.pdf \/mnt\/coffre\/<\/code><\/pre>\n\n\n\n
Pendant que le volume est mont\u00e9, traitez-le comme n’importe quel dossier. Les applications l’utilisent sans savoir qu’il est chiffr\u00e9. D\u00e8s que vous d\u00e9montez le volume, ou que l’ordinateur s’\u00e9teint, le contenu redevient un bloc de donn\u00e9es illisibles. C’est pr\u00e9cis\u00e9ment ce qui prot\u00e8ge vos donn\u00e9es en cas de vol ou de perte.<\/p>\n\n\n\n
\u00c9tape 8 : Chiffrer une cl\u00e9 USB ou une partition enti\u00e8re<\/h2>\n\n\n\n
Au-del\u00e0 du conteneur fichier, VeraCrypt chiffre des p\u00e9riph\u00e9riques complets. Pour une cl\u00e9 USB nomade, c’est id\u00e9al : tout le contenu est prot\u00e9g\u00e9, et la perte de la cl\u00e9 n’expose aucune donn\u00e9e. Dans \u00ab Create Volume \u00bb, choisissez cette fois \u00ab Encrypt a non-system partition\/drive \u00bb, s\u00e9lectionnez le p\u00e9riph\u00e9rique, puis suivez le m\u00eame assistant que pour un conteneur.<\/p>\n\n\n\n
Attention, cette op\u00e9ration efface tout le contenu existant du p\u00e9riph\u00e9rique. Sauvegardez vos fichiers avant de commencer. Identifiez bien le bon p\u00e9riph\u00e9rique : sous Linux, v\u00e9rifiez avec lsblk<\/code> que vous ciblez la cl\u00e9 USB et non votre disque syst\u00e8me. Une erreur de cible d\u00e9truit des donn\u00e9es irr\u00e9cup\u00e9rables.<\/p>\n\n\n\n
# Identifier le bon p\u00e9riph\u00e9rique avant toute chose\nlsblk -o NAME,SIZE,TYPE,MOUNTPOINT\n# sdb      28G  disk            <-- cl\u00e9 USB de 32 Go\n# \u2514\u2500sdb1   28G  part  \/media\/usb\n\n# D\u00e9monter avant de chiffrer\nsudo umount \/dev\/sdb1\n\n# Lancer VeraCrypt en mode partition (interface graphique conseill\u00e9e ici)\nveracrypt --text --create \/dev\/sdb1 --encryption AES --hash sha-512 \\\n  --filesystem exFAT --volume-type normal --random-source \/dev\/urandom<\/code><\/pre>\n\n\n\n
Pour une cl\u00e9 USB destin\u00e9e \u00e0 circuler entre plusieurs syst\u00e8mes, le format exFAT et l’algorithme AES garantissent une compatibilit\u00e9 maximale. Une fois la cl\u00e9 chiffr\u00e9e, n’importe quel poste \u00e9quip\u00e9 de VeraCrypt pourra la monter avec la phrase secr\u00e8te, sous Windows comme sous macOS ou Linux.<\/p>\n\n\n\n
\u00c9tape 9 : Chiffrer le disque syst\u00e8me au d\u00e9marrage sous Windows<\/h2>\n\n\n\n
Le chiffrement syst\u00e8me est la protection la plus compl\u00e8te : tout le disque, y compris Windows et vos fichiers temporaires, est chiffr\u00e9. \u00c0 chaque d\u00e9marrage, un chargeur d’amor\u00e7age VeraCrypt demande la phrase secr\u00e8te avant m\u00eame que le syst\u00e8me ne se lance. Sans elle, le disque est un bloc inerte. Cette fonction est disponible sous Windows ; sous Linux, on lui pr\u00e9f\u00e8re g\u00e9n\u00e9ralement LUKS, int\u00e9gr\u00e9 au noyau.<\/p>\n\n\n\n
Dans l’interface, choisissez \u00ab System \u00bb puis \u00ab Encrypt the System Partition\/Drive \u00bb. L’assistant vous guide \u00e0 travers plusieurs \u00e9tapes importantes. La premi\u00e8re : cr\u00e9er un disque de secours (Rescue Disk). Ne sautez jamais cette \u00e9tape. Si le chargeur d’amor\u00e7age est endommag\u00e9, ce disque est votre seul moyen de r\u00e9cup\u00e9rer vos donn\u00e9es. Gravez-le ou enregistrez l’image ISO en lieu s\u00fbr, hors de l’ordinateur chiffr\u00e9.<\/p>\n\n\n\n
VeraCrypt lance ensuite un test du chargeur d’amor\u00e7age : il red\u00e9marre l’ordinateur et vous demande la phrase secr\u00e8te une premi\u00e8re fois, sans encore chiffrer. Si ce test r\u00e9ussit, le chiffrement r\u00e9el d\u00e9marre et se d\u00e9roule en arri\u00e8re-plan pendant que vous continuez \u00e0 travailler. Pour un SSD de 512 Go, comptez 30 \u00e0 90 minutes. Vous pouvez mettre le processus en pause et le reprendre.<\/p>\n\n\n\n
Notez que sur les machines r\u00e9centes en UEFI Secure Boot, il peut \u00eatre n\u00e9cessaire d’ajuster un r\u00e9glage du firmware si le chargeur VeraCrypt n’est pas reconnu. L’\u00e9pisode de signature de d\u00e9but 2026 a rendu cette compatibilit\u00e9 plus fluide avec les composants EFI re-sign\u00e9s, mais v\u00e9rifiez toujours que vous utilisez la derni\u00e8re version.<\/p>\n\n\n\n
\u00c9tape 10 : Cr\u00e9er un volume cach\u00e9 pour le d\u00e9ni plausible<\/h2>\n\n\n\n
Le volume cach\u00e9 est la fonction signature de VeraCrypt. L’id\u00e9e : \u00e0 l’int\u00e9rieur d’un volume chiffr\u00e9 classique (le volume \u00ab ext\u00e9rieur \u00bb), vous cr\u00e9ez un second volume invisible, prot\u00e9g\u00e9 par une phrase secr\u00e8te diff\u00e9rente. Selon le mot de passe saisi au montage, VeraCrypt ouvre soit le volume ext\u00e9rieur, soit le volume cach\u00e9. Un observateur ne peut pas prouver l’existence du volume cach\u00e9, car l’espace libre d’un volume VeraCrypt est rempli de donn\u00e9es al\u00e9atoires indiscernables de donn\u00e9es chiffr\u00e9es.<\/p>\n\n\n\n
Cette propri\u00e9t\u00e9 offre un d\u00e9ni plausible : si vous \u00eates contraint de r\u00e9v\u00e9ler un mot de passe, vous livrez celui du volume ext\u00e9rieur, qui contient des fichiers d’apparence sensible mais sans r\u00e9elle valeur. Le volume cach\u00e9, lui, reste secret. Pour cr\u00e9er ce dispositif, choisissez \u00ab Hidden VeraCrypt volume \u00bb dans l’assistant et suivez les deux phases : d’abord le volume ext\u00e9rieur, puis le volume cach\u00e9 log\u00e9 dans son espace libre.<\/p>\n\n\n\n
Une pr\u00e9caution essentielle : quand vous montez le volume ext\u00e9rieur pour y ajouter des fichiers leurres, activez la protection du volume cach\u00e9. Sans elle, vous risquez d’\u00e9craser physiquement les donn\u00e9es du volume cach\u00e9 en remplissant l’ext\u00e9rieur. VeraCrypt propose une option \u00ab Protect hidden volume \u00bb au montage, qui emp\u00eache cette corruption en demandant aussi le mot de passe cach\u00e9.<\/p>\n\n\n\n
# Monter le volume ext\u00e9rieur en prot\u00e9geant le volume cach\u00e9\nveracrypt --text --mount \/home\/sam\/coffre.hc \/mnt\/exterieur \\\n  --protect-hidden yes\n# VeraCrypt demande le mot de passe ext\u00e9rieur PUIS le mot de passe cach\u00e9\n# afin de conna\u00eetre la zone \u00e0 prot\u00e9ger contre l'\u00e9crasement<\/code><\/pre>\n\n\n\n
\u00c9tape 11 : Sauvegarder l’en-t\u00eate et adopter les bonnes pratiques<\/h2>\n\n\n\n
L’en-t\u00eate du volume (les premiers kilo-octets) contient les cl\u00e9s ma\u00eetres chiffr\u00e9es. S’il est corrompu, par exemple par un secteur d\u00e9fectueux ou une coupure de courant pendant une \u00e9criture, vos donn\u00e9es deviennent irr\u00e9cup\u00e9rables, m\u00eame avec le bon mot de passe. VeraCrypt permet de sauvegarder cet en-t\u00eate via le menu \u00ab Tools \u00bb puis \u00ab Backup Volume Header \u00bb. Conservez cette sauvegarde s\u00e9par\u00e9ment du volume.<\/p>\n\n\n\n
Adoptez ensuite quelques r\u00e9flexes durables. D\u00e9montez toujours vos volumes avant d’\u00e9teindre ou de mettre en veille prolong\u00e9e. Ne stockez jamais la phrase secr\u00e8te sur le m\u00eame appareil que le volume. Sauvegardez r\u00e9guli\u00e8rement le contenu chiffr\u00e9, car le chiffrement ne prot\u00e8ge pas contre la panne mat\u00e9rielle ou la suppression accidentelle. Le chiffrement prot\u00e8ge la confidentialit\u00e9, pas la disponibilit\u00e9. Pour comprendre comment les fuites surviennent malgr\u00e9 tout, lisez notre dossier sur les fuites de donn\u00e9es<\/a>.<\/p>\n\n\n\n
\u00c9tape 12 : D\u00e9monter et automatiser vos montages<\/h2>\n\n\n\n
Le d\u00e9montage est aussi important que le montage. Tant qu’un volume est mont\u00e9, ses cl\u00e9s r\u00e9sident en m\u00e9moire vive et son contenu est accessible. D\u00e9montez d\u00e8s que vous avez termin\u00e9. Dans l’interface, s\u00e9lectionnez le volume et cliquez sur \u00ab Dismount \u00bb ou \u00ab Dismount All \u00bb. En ligne de commande, une seule commande suffit :<\/p>\n\n\n\n
# D\u00e9monter un volume pr\u00e9cis\nveracrypt --text --dismount \/mnt\/coffre\n\n# D\u00e9monter tous les volumes d'un coup\nveracrypt --text --dismount\n\n# Script de montage rapide (\u00e0 prot\u00e9ger par chmod 700)\n#!\/bin\/bash\nVOL=\"\/home\/sam\/coffre.hc\"\nMNT=\"\/mnt\/coffre\"\nveracrypt --text --mount \"$VOL\" \"$MNT\" --pim 0 --keyfiles \"\" \\\n  --protect-hidden no && echo \"Volume mont\u00e9 sur $MNT\"<\/code><\/pre>\n\n\n\n
Pour un usage r\u00e9gulier, vous pouvez configurer un d\u00e9montage automatique apr\u00e8s une p\u00e9riode d’inactivit\u00e9, dans \u00ab Settings \u00bb puis \u00ab Preferences \u00bb. Activez aussi \u00ab Dismount all when user session is locked \u00bb : d\u00e8s que vous verrouillez votre session, VeraCrypt ferme les volumes. C’est une protection efficace contre l’acc\u00e8s opportuniste quand vous quittez votre poste quelques minutes.<\/p>\n\n\n\n
Pi\u00e8ges courants \u00e0 \u00e9viter avec VeraCrypt<\/h2>\n\n\n\n
Certaines erreurs reviennent syst\u00e9matiquement chez les d\u00e9butants. Les conna\u00eetre \u00e0 l’avance vous \u00e9vitera des pertes de donn\u00e9es et des frustrations.<\/p>\n\n\n\n