secure-os.org
EN FR ES

VeraCrypt en 2026 : guide complet sur les conteneurs chiffrés et les volumes cachés

published 12 juin 2026 · #veracrypt #chiffrement #chiffrement-disque

Terminal montrant la création d'un volume VeraCrypt avec sélection du chiffrement sur fond sombre

VeraCrypt est le seul outil de chiffrement de disque mainstream, audité et multiplateforme qui intègre nativement la déniabilité plausible. Cette combinaison — code source largement examiné, support des volumes cachés, et binaires fonctionnant sur Linux, Windows et macOS sans recompilation — en fait un outil pilier pour les modèles de menaces que ce site est conçu à servir.

Ce guide couvre VeraCrypt 1.26 (la version stable actuelle en juin 2026), publiée en août 2023. Il est le successeur de TrueCrypt 7.1a, abandonné en mai 2014 après un avertissement anonyme qui n’a jamais été complètement expliqué. Le projet VeraCrypt a audité et substantiellement modifié la base de code ; un second audit indépendant a été réalisé en 2016 par QuarksLab et pris en compte dans les versions suivantes.

Ce que VeraCrypt fait — et ce qu’il ne fait pas

VeraCrypt protège les données au repos. Quand un volume n’est pas monté, il est indiscernable de bruit aléatoire pour quiconque ne possède pas la phrase de passe. Quand vous le démontez, cette protection est immédiate et complète. Quand un volume est monté, vous lisez et écrivez dessus comme sur n’importe quel disque — le chiffrement s’effectue de manière transparente dans l’espace noyau.

VeraCrypt ne protège pas les processus en cours d’exécution, le contenu de la RAM, ni les données déjà exfiltrées depuis un volume monté. Il ne protège pas contre un attaquant réseau. Le modèle de menace qu’il adresse précisément est : quelqu’un obtient un accès physique à votre dispositif de stockage alors qu’un volume est démonté.

Créer votre premier conteneur chiffré

Un conteneur VeraCrypt est un fichier ordinaire sur votre système de fichiers qui agit comme un disque monté chiffré. C’est le format le plus portable — il peut vivre sur une clé USB, dans le stockage cloud, ou sur n’importe quel système de fichiers sans repartitionnement.

# Créer un conteneur de 2 Go nommé vault.vc
veracrypt --create vault.vc \
  --size=2G \
  --encryption=AES \
  --hash=SHA-512 \
  --filesystem=ext4 \
  --pim=0 \
  --keyfiles="" \
  --random-source=/dev/urandom \
  -t

Monter le conteneur :

veracrypt vault.vc /mnt/vault

Démonter :

veracrypt -d /mnt/vault

Volumes cachés : déniabilité plausible

Un volume caché VeraCrypt est la fonctionnalité qui distingue cet outil du chiffrement LUKS, qui n’offre aucune couche de déniabilité. Le fonctionnement est le suivant :

Un volume extérieur est créé avec une phrase de passe leurre. À l’intérieur de l’espace libre du volume extérieur, un second volume (caché) est créé avec une phrase de passe séparée. Il n’existe aucun en-tête, indicateur ou structure sur disque qui distingue la zone du volume caché d’espace libre aléatoire. Quand vous saisissez la phrase de passe leurre sous contrainte, vous obtenez un ensemble plausible de fichiers. Quand vous saisissez la vraie phrase de passe, vous accédez à vos données réelles.

Cela ne fournit de déniabilité que si le volume extérieur contient des fichiers crédibles. Un volume extérieur vide avec des octets aléatoires remplissant l‘“espace libre” n’est pas convaincant.

Chiffrement complet du disque sur Linux : VeraCrypt vs LUKS

Pour les utilisateurs Linux, la comparaison pertinente est toujours entre les conteneurs de fichiers VeraCrypt et LUKS2 (Linux Unified Key Setup), qui est la couche de chiffrement de disque standard dans la plupart des distributions Linux.

Avantages de LUKS : intégration native au noyau via dm-crypt, support de plusieurs clés (keyslots), meilleures performances sur NVMe, supporté dans l’initramfs par défaut. Voir le guide complet LUKS.

Avantages de VeraCrypt : multiplateforme (Linux/Windows/macOS), volumes cachés / déniabilité plausible, conteneurs portables sans repartitionnement, audité par des tiers indépendants.

Limites et modes d’échec

  1. Attaques evil maid : si un adversaire peut accéder physiquement à votre machine hors tension et modifier le chargeur d’amorçage ou le matériel, le chiffrement système VeraCrypt ne vous protège pas.

  2. Forensique RAM : quand un volume est monté, la clé de chiffrement est en RAM. Les attaques cold boot sont documentées et ont été démontrées sur des volumes VeraCrypt.

  3. Pas de confidentialité persistante : contrairement aux protocoles de couche transport, les clés de chiffrement de disque ne sont pas renouvelées. Si une clé long terme est compromise, toutes les données historiques sont exposées.

  4. La déniabilité n’est pas une défense légale dans toutes les juridictions : le RIPA (UK) Part III exige la divulgation des clés. La déniabilité plausible est une protection opérationnelle, pas un bouclier légal garanti.

FAQ

Q : Les conteneurs VeraCrypt peuvent-ils être stockés dans des services cloud ? R : Oui — un conteneur VeraCrypt est un fichier ordinaire. Chargez-le sur n’importe quel service cloud. Le risque est que la synchronisation cloud peut corrompre un conteneur si la synchronisation s’exécute pendant que le volume est monté ; démontez avant de synchroniser.

Q : VeraCrypt fonctionne-t-il sur macOS Ventura / Sequoia ? R : VeraCrypt 1.26.7 et versions ultérieures supportent macOS 12 à 15. L’installation nécessite macFUSE et l’activation des extensions système en mode Récupération.

Q : VeraCrypt est-il activement maintenu ? R : Le projet a connu une période de développement lent entre 2018 et 2022. Depuis 2022, les versions sont plus fréquentes. Le code source est sur GitHub (veracrypt/VeraCrypt).

Ce guide fait partie de la série chiffrement de secure-os.org, qui couvre également LUKS sur Linux, le durcissement Linux et le cadre de décision Qubes vs Tails vs Whonix. Ce site porte l’héritage éditorial du projet Secure Desktops (2015–2017) — threat-model-first, sans marketing.