2026-03-20 · 8 min read

Lancement d'OOShare : Partage Sécurisé de Secrets et d'Images avec Chiffrement Zero-Knowledge

Par Diogo Hudson Dias
Over-the-shoulder view of a person at a laptop in a bright coworking space; the laptop shows a blurred browser page with a lock icon and an image thumbnail, and a smartphone on the desk displays a blurred link notification.

Chaque équipe a le même secret inavouable : des mots de passe, clés API, identifiants et captures d'écran sensibles sont partagés par messages Slack, e-mails et SMS chaque jour. Ces messages restent dans les logs de chat pour toujours, sauvegardés dans les archives d'entreprise, indexés par la recherche, synchronisés entre les appareils — une mine d'or pour quiconque y accède.

Nous avons créé OOShare (Only Once Share) pour résoudre ce problème. Aujourd'hui, nous le lançons comme outil gratuit et open source sur ooshare.io.

Le Problème Que Nous Rencontrions Sans Cesse

Chez DHD Tech, nous travaillons avec des clients de multiples organisations. Cela signifie un flux constant d'identifiants entre équipes : mots de passe de bases de données, clés SSH, tokens API, accès aux consoles cloud, identifiants de services tiers. Les points de transfert sont là où la sécurité échoue.

Voici ce que nous observions — et ce qui se passe probablement dans votre entreprise en ce moment :

  • Messages Slack avec mots de passe — consultables pour toujours par n'importe qui dans le workspace, persistés dans les sauvegardes, visibles par les admins, synchronisés sur chaque appareil connecté
  • E-mails avec identifiants — transférés, archivés, synchronisés sur les téléphones et sauvegardés d'une manière que personne ne suit
  • Documents partagés avec clés API — Google Docs et pages Notion qui survivent au projet pour lequel ils ont été créés
  • Captures d'écran de mots de passe et documents d'identité — dans la pellicule photo, synchronisées sur iCloud, sauvegardées sur Google Photos, accessibles depuis tout appareil lié

Le problème fondamental est la persistance. Ces canaux sont conçus pour tout stocker de façon permanente. C'est parfait pour les conversations — c'est catastrophique pour les secrets. Et les images sont encore pires : contrairement à un mot de passe que l'on peut changer, un passeport scanné, un dossier médical ou un contrat signé qui a fuité ne peut pas être « défuité ».

Ce Que Fait OOShare

OOShare vous permet de créer des liens chiffrés et autodestructeurs pour les informations sensibles — texte et images dans le même lien. Le processus est simple :

  1. Tapez ou collez votre secret — texte jusqu'à 50 000 caractères
  2. Joignez une image (optionnel) — JPEG, PNG, GIF ou WebP jusqu'à 10 Mo
  3. Définissez une expiration — choisissez entre 1, 4, 12, 24, 48 ou 72 heures
  4. Obtenez un lien à usage unique — partagez-le par n'importe quel canal
  5. Le destinataire l'ouvre une fois — texte et image sont affichés, puis le lien s'autodétruit définitivement

Si le lien expire avant d'être ouvert, les données chiffrées sont supprimées automatiquement. Si quelqu'un essaie le lien une seconde fois, il voit « Secret Non Disponible ». Pas d'archive, pas d'index de recherche, pas de sauvegarde. Le secret a existé pour exactement une consultation.

Pourquoi le Partage Chiffré d'Images Compte

La plupart des outils de partage de secrets ne gèrent que le texte. Mais certaines des informations les plus sensibles que les gens doivent partager sont des images :

  • Documents d'identité — passeports, permis de conduire et cartes d'identité contiennent votre nom complet, date de naissance, photo et numéros de document. Les équipes RH les demandent lors de l'intégration. Les agences immobilières en ont besoin pour les baux. Une fois fuités, vous ne pouvez pas changer votre numéro de passeport.
  • Dossiers médicaux et imagerie — les professionnels de santé partagent des images diagnostiques entre spécialistes. Protégés par des réglementations comme le RGPD, ils continuent d'être envoyés en pièces jointes d'e-mails.
  • Documents juridiques — contrats signés, accords de règlement et pièces judiciaires. Les avocats les partagent régulièrement avec les clients et les parties adverses par e-mail.
  • Documents financiers — relevés bancaires, documents fiscaux et confirmations de paiement contenant des numéros de comptes et des données personnelles.
  • Captures d'écran de consoles d'administration — screenshots de configuration, logs d'erreurs avec des données sensibles et identifiants d'accès capturés depuis des tableaux de bord.

Contrairement aux mots de passe, les images compromises ne peuvent pas être facilement changées. Un passeport scanné fuité est définitivement compromis. OOShare est le premier outil gratuit et open source qui chiffre les images avec la même architecture zero-knowledge que pour le texte — le serveur ne voit jamais l'image originale.

Comment le Chiffrement Fonctionne

La décision architecturale la plus importante d'OOShare est le chiffrement zero-knowledge côté client. Voici exactement ce qui se passe quand vous créez un secret :

  1. Votre navigateur génère une clé de chiffrement aléatoire via la Web Crypto API
  2. Texte et image sont chiffrés localement avec AES-256-GCM — le même standard utilisé par les gouvernements et institutions financières
  3. Chaque secret reçoit sa propre clé unique dérivée via HKDF-SHA-256, avec l'ID du secret comme contexte — compromettre un secret ne révèle rien sur les autres
  4. L'ID du secret est lié comme Données Authentifiées Additionnelles (AAD) pendant le chiffrement, liant cryptographiquement chaque payload à son secret spécifique. Toute tentative de falsification provoque un échec du déchiffrement
  5. Seul le texte chiffré est envoyé au serveur et stocké temporairement dans Redis
  6. La clé de déchiffrement est placée dans le fragment d'URL (la partie après le #). Selon la RFC 3986, les fragments d'URL ne sont jamais envoyés au serveur — la clé ne quitte jamais le navigateur de l'expéditeur et du destinataire

Quand le destinataire ouvre le lien, le serveur effectue une opération atomique GETDEL dans Redis — récupère les données chiffrées et les supprime en une seule opération. Le navigateur utilise ensuite la clé du fragment d'URL pour tout déchiffrer localement.

Cela signifie que même si quelqu'un pirate le serveur OOShare, il obtient un tas de blobs chiffrés sans clés pour les déchiffrer. Les clés n'existent que dans le navigateur de l'expéditeur et du destinataire. Nous ne pouvons pas lire vos secrets. Personne ne le peut.

Pourquoi l'Open Source Compte pour les Outils de Sécurité

Les outils de sécurité qui demandent votre confiance sans montrer leur fonctionnement ont un problème fondamental de crédibilité. Nous avons rendu OOShare open source sous licence MIT (github.com/dhdtech/oos) parce que la confiance doit être vérifiable :

  • Auditez la cryptographie — vérifiez que AES-256-GCM, HKDF-SHA-256 et l'architecture zero-knowledge sont correctement implémentés
  • Hébergez sur votre infrastructure — déployez OOShare avec Docker sur vos propres serveurs. La stack est React + Flask + Redis, entièrement conteneurisée. Gardez tout dans votre réseau pour la résidence des données et la conformité
  • Forkez et personnalisez — adaptez aux politiques spécifiques de votre organisation, règles d'expiration ou marque
  • Contribuez — signalez des bugs, proposez des fonctionnalités, améliorez les traductions ou soumettez du code. La communauté le rend plus fort

Les outils à code fermé vous demandent de faire confiance à leur marketing. Les outils open source vous demandent de faire confiance aux mathématiques — et vous laissent vérifier.

Comparaison avec les Outils Existants

  • vs. OneTimeSecret : OneTimeSecret chiffre côté serveur — votre texte en clair traverse le réseau et le serveur le manipule avant le chiffrement. OOShare chiffre dans votre navigateur avant toute transmission. Il supporte aussi le partage chiffré d'images (pas OneTimeSecret), utilise la dérivation de clé HKDF avec liaison AAD, et est entièrement open source avec auto-hébergement Docker
  • vs. Privnote : Mêmes préoccupations de chiffrement côté serveur. Pas de support d'images. Code fermé — vous ne pouvez pas vérifier ce qui arrive à vos données
  • vs. Gestionnaires de mots de passe : Des outils comme 1Password et LastPass exigent que les deux parties aient des comptes sur la même plateforme et nécessitent souvent des plans payants. OOShare ne demande rien — pas de compte, pas d'abonnement, juste un lien
  • vs. Applications de messagerie chiffrée : Signal et WhatsApp sont excellents pour les conversations, mais les messages persistent sur les deux appareils indéfiniment. Ils sont conçus pour la communication continue, pas pour le transfert ponctuel de credentials. OOShare garantit que le secret existe pour exactement une consultation

Conçu pour Tous

OOShare est entièrement gratuit, sans offre premium, sans limites d'utilisation et sans inscription requise. Nous l'avons construit parce que nous en avions besoin nous-mêmes, et nous croyons que chaque équipe mérite un accès aux outils de sécurité de base sans processus d'achat.

L'outil est disponible en six langues — anglais, chinois, espagnol, hindi, arabe et portugais — avec détection automatique depuis les paramètres du navigateur. Que vous soyez un développeur partageant des clés API, une équipe RH intégrant de nouveaux employés dans différents pays, ou un particulier envoyant des documents à un avocat, OOShare fonctionne pour vous.

Spécifications clés :

  • Chiffrement : AES-256-GCM avec dérivation de clé HKDF-SHA-256 (côté navigateur)
  • Texte : Jusqu'à 50 000 caractères par secret
  • Images : JPEG, PNG, GIF, WebP jusqu'à 10 Mo — chiffrées avec la même architecture zero-knowledge
  • Expiration : 1h, 4h, 12h, 24h, 48h ou 72h
  • Langues : Anglais, Chinois, Espagnol, Hindi, Arabe, Portugais
  • Auto-hébergement : Déploiement Docker Compose avec React + Flask + Redis
  • Licence : MIT — utilisez-le, forkez-le, déployez-le comme vous voulez

Essayez OOShare Maintenant

Rendez-vous sur ooshare.io et créez votre premier lien chiffré. Pas d'inscription, pas de configuration — collez votre texte, joignez une image si besoin, choisissez l'expiration et partagez le lien.

Pour l'héberger ou contribuer, consultez le dépôt GitHub. Pour comprendre l'architecture de sécurité en profondeur, visitez la page sécurité.

Arrêtez d'envoyer des mots de passe et des captures d'écran sensibles sur Slack. Votre futur vous — et votre équipe de sécurité — vous remercieront.

Articles connexes
2026-03-10 · 8 min read

Nearshore vs. Offshore : Un cadre de décision pour les CTO américains

Lire l'article →
2026-02-24 · 9 min de lecture

Comment recruter des développeurs seniors au Brésil : guide complet

Lire l'article →

Ready to scale your engineering team?

Tell us about your project and we'll get back to you within 24 hours.

Start a conversation