SharePwd : un outil complet de partage sécurisé de secrets

Dans un billet sur LinkedIn, Antonin Hily, directeur général et technique de Jizô AI – anciennement Sésame IT – explique le projet : « on avait besoin d’un outil pour partager des secrets. Sécurisé, souverain, sans compromis ». C’est de là qu’est né SharePwd, un service en ligne gratuit dont le code source doit être prochainement disponible, ouvrant notamment la voie à l’auto-hébergement.

Et de décrire son fonctionnement : « votre secret est chiffré dans votre navigateur (AES-256-GCM). La clé de déchiffrement reste dans le fragment de l’URL ; elle n’atteint jamais notre serveur ».

Ce qui atteint le serveur, c’est « un blob chiffré » illisible sans la clé. À l’autre bout, « le destinataire ouvre le lien, déchiffre localement, et le secret s’autodétruit ». En somme, SharePwd ne connaît pas ni ne peut connaître le secret ainsi partagé – dont le support de partage est, de surcroît, éphémère.

Le service est actuellement hébergé chez OVHcloud et peut être sollicité via son interface Web ainsi qu’une API REST et en ligne de commande, pour intégration « dans les pipelines CI/CD ». Au-delà des secrets, les fichiers jusqu’à 5 Mo sont également pris en charge.

Antonin Hily indique que ce projet, né de besoins internes, va être prochainement disponible en sources ouvertes, sous licence AGPLv3, afin de permettre l’audit de son code, les contributions, mais également l’auto-hébergement.