Accéder au contenu
cutty.dev
All posts

La sécurité des liens protégés par mot de passe : que se passe-t-il lorsque vous cliquez ?

Vous pouvez ajouter un mot de passe à votre lien court. Nous vous montrons ce qui se passe en coulisses, sans jargon, et pourquoi cela vaut vraiment la peine.

Le lien court avec mot de passe est simple. Vous saisissez le mot de passe, quelqu'un d'autre doit le saisir pour voir où ce lien mène. En dessous, il se passe un peu plus de choses. Nous montrons ce que, pourquoi, et quand cela est utile.

Pourquoi protéger un lien avec un mot de passe

Trois contextes où cela a du sens :

Le contenu que vous souhaitez afficher uniquement à des personnes spécifiques. Tarifs pour les clients premium, document bêta avant l'annonce publique, matériel de formation pour les personnes ayant payé le cours. Sans mot de passe, quelqu'un pourrait trouver ce lien via un moteur de recherche ou l'obtenir de seconde main.

Contenu à courte durée de vie que vous souhaitez verrouiller. Offre spéciale pour vendredi, contenu de conférence accessible uniquement aux participants. Le mot de passe transforme un lien en accès contrôlé — vous êtes certain que le visiteur a reçu le mot de passe de votre part, et non d’un tiers.

Le contenu que vous publiez publiquement mais que vous souhaitez contrôler. Votre liste de prix complète, votre processus produit interne, votre offre client. Le lien peut être envoyé — mais sans mot de passe, personne ne pourra y accéder.

Ce qui se passe lorsque vous définissez un mot de passe

Vous saisissez le mot de passe dans le formulaire de création de lien. Le mot de passe est immédiatement chiffré — transformé en une chaîne de caractères illisible. Le simple fait que le mot de passe soit « secret123 » disparaît au moment où vous cliquez sur « Enregistrer ». Même moi, en tant que propriétaire du site, ne peux pas le lire.

Ce qui est enregistré dans la base : pas le mot de passe, mais l'empreinte digitale (techniquement un « hash ») — une chaîne qui correspond à ton mot de passe uniquement si quelqu'un saisit exactement la même chose. Si quelqu'un s'infiltre dans notre base, il n'obtiendra que ces chaînes — pas les mots de passe de tes liens.

Nous utilisons à cette fin un standard de l'industrie utilisé par la plupart des systèmes de connexion en ligne. Il est conçu volontairement pour être lent, afin que le pirate qui volerait la base de données doive attendre des millions d'années pour deviner les mots de passe.

Ce qui se passe quand quelqu'un clique sur votre lien

  1. Le visiteur voit l'écran de déverrouillage au lieu d'une redirection directe. Un court message indique que "ce lien est protégé par un mot de passe" et un champ pour le saisir.
  2. Il saisit le mot de passe et clique sur "Déverrouiller". Le mot de passe est vérifié sur le serveur par rapport au hash enregistré.
  3. Si cela correspond — le visiteur reçoit un jeton de session valable 24 heures. Pendant les 24 heures suivantes, il peut revenir à ce lien sans saisir de mot de passe. Il n'a pas besoin de s'en souvenir.
  4. Si cela ne correspond pas — un message d'erreur s'affiche. Après cinq tentatives infructueuses depuis la même adresse IP — blocage pendant cinq minutes. Les robots ne pourront pas forcer l'accès.

Ce que nous NE faisons PAS

  • Nous ne stockons pas les mots de passe en clair. Jamais. Même dans les journaux de débogage.
  • Nous n’envoyons pas les mots de passe par e-mail. Même si un visiteur l’oublie, nous ne pouvons pas le lui rappeler — car nous ne le savons pas non plus. Vous devez lui renvoyer le mot de passe depuis le compte à partir duquel il l’a reçu.
  • Nous ne transmettons pas les mots de passe à des tiers. Aucun fournisseur externe d’analyse, de marketing ou d’IA n’a accès à ces données.

Conseils pratiques

Créez des mots de passe qui ne sont pas évidents. Le nom de l’entreprise + l’année de création est une mauvaise idée. Le générateur de mots de passe intégré au navigateur le fait mieux.

N’envoyez pas le mot de passe par le même canal que le lien. Si vous envoyez le lien par e-mail, envoyez le mot de passe par SMS. Ou inversement. Ainsi, une intrusion sur un canal de communication ne donnera pas un accès complet.

Vous pouvez avoir plusieurs liens avec la même URL cible mais des mots de passe différents. Utile lorsque vous donnez accès à différentes personnes — vous pouvez bloquer un lien lorsque cet accès doit prendre fin, sans affecter les autres.

Le mot de passe peut être modifié sans créer un nouveau lien. Dans le panneau, « Éditer » → saisissez le nouveau mot de passe. Toutes les sessions actives de 24 heures expireront immédiatement, chaque visiteur devra saisir le nouveau mot de passe.

Quand le mot de passe NE suffit PAS

Le mot de passe protège contre l’indexation publique et l’accès accidentel. Il ne protège pas contre une personne qui connaît le mot de passe et souhaite le partager. Si votre scénario nécessite « seule cette personne spécifique peut le voir », vous avez besoin en plus d’une connexion, de comptes utilisateurs et d’autorisation. Il s’agit d’une fonctionnalité de niveau supérieur (prévue dans le futur plan Pro).

Pour 95 % des cas, « je ne veux pas qu’un inconnu le voie » — un mot de passe suffit.

Essayez par vous-même — lors de la création du lien, sélectionnez « Options avancées » → « Ajouter un mot de passe ».