Arrêtez d'envoyer des fichiers .env par e-mail : un guide pratique des coffres-forts chiffrés

Les quatre chemins de fuite les plus courants :

• DM Slack — onboarding, passations rapides. L'index de recherche les garde pour toujours. • Pages Notion/Confluence — quelqu'un a fait une page 'dev setup' en 2022 avec des valeurs de production. • Collections Postman en clair — partagées via le workspace, incluant des tokens actifs. • Fichiers .env committés — `git rm` les retire de HEAD mais ils vivent dans l'historique.

Aucun n'implique un initié malveillant. Ce sont tous des raccourcis de workflow qui deviennent des artefacts permanents.

Avant de choisir un outil, nommez les menaces :

• Un junior qui quitte l'entreprise et a toujours son export Slack sur son laptop. • Un prestataire qui a eu accès un jour à votre Notion et a gardé une sauvegarde Markdown. • Un laptop de développeur compromis où un infostealer a aspiré tous les secrets en clair.

Les coffres-forts chiffrés gèrent tous ces cas de la même manière : le secret n'est jamais au repos en clair, donc un chiffré exfiltré est inutile sans la clé du coffre.

EnvVault utilise Fernet (AES-128-CBC avec HMAC-SHA256) pour le chiffrement des secrets. Ce n'est pas la suite de chiffrement la plus exotique, et c'est le but. Fernet est standardisé, largement audité et impossible à détourner de manière à produire une sortie non sécurisée.

Point critique : le coffre utilise une `ENVVAULT_ENCRYPTION_KEY` dédiée, pas le secret de signature JWT de l'application. Les partager est une erreur courante : si un attaquant forge un JWT, il déchiffre aussi chaque secret.

Un coffre pour 'tout' est la mauvaise forme. Un secret de production a des besoins d'accès fondamentalement différents d'un secret de développement.

Structurez vos coffres ainsi :

• Production — lu uniquement par le senior on-call, journal d'audit à chaque accès. • Staging — lu par tout ingénieur, écrit uniquement par le lead. • Développement — tout le monde peut lire et écrire.

La séparation ne concerne pas que les permissions — elle concerne le rayon d'explosion.

La capacité opérationnelle la plus importante qu'un coffre doit avoir est la rotation de clé sans casser l'application. La procédure :

1. Générer une nouvelle clé. L'ajouter au coffre comme `current`. 2. Garder l'ancienne clé comme `legacy`. 3. Passer un re-chiffrement : pour chaque secret, déchiffrer avec `legacy`, chiffrer avec `current`. 4. Une fois terminé, retirer `legacy`.

Avec une fenêtre à double clé, aucune requête n'échoue à cause d'une rotation.