Qu'est-ce que rclone crypt et pour qui ?

rclone crypt est un backend (une surcouche) de rclone, l'outil open-source en ligne de commande qui synchronise des fichiers sur 70+ fournisseurs cloud. crypt enveloppe un autre remote et chiffre le contenu de vos fichiers (et, en option, leurs noms) sur votre machine avant l'upload, puis déchiffre au téléchargement. Le fournisseur cloud ne stocke jamais que du chiffré : c'est zero-knowledge. Il vise les personnes à l'aise avec un terminal : sauvegardes chiffrées automatisées, serveur headless, ou ajout d'un chiffrement côté client par-dessus un fournisseur sans option zero-knowledge native (Google Drive, Backblaze B2, S3, OneDrive…).

Quelle cryptographie utilise rclone crypt ?

Le contenu des fichiers est chiffré avec XSalsa20-Poly1305, le chiffrement authentifié de la construction NaCl SecretBox. La clé est dérivée de votre mot de passe via scrypt, avec un second mot de passe optionnel (appelé sel, ou password2) pour renforcer encore. Les noms de fichiers, dans le mode standard par défaut, sont chiffrés avec EME (un mode AES à bloc large). Tout se passe localement avant tout transit réseau : ni le contenu ni les noms n'atteignent le fournisseur en clair.

rclone crypt chiffre-t-il aussi les noms de fichiers et de dossiers ?

Oui, en option. Le mode de noms par défaut est standard, qui chiffre les noms de fichiers avec EME (AES). Vous pouvez aussi choisir obfuscate (un brouillage plus léger et rapide) ou off (les noms restent lisibles). Le chiffrement des noms de dossiers est un réglage séparé, activable ou non pendant la config. Si vous mettez le chiffrement des noms de fichiers et de dossiers sur off, seul le contenu est protégé et l'arborescence reste visible par le fournisseur, ce qui peut fuiter des métadonnées.

Mon mot de passe est-il en sécurité dans rclone.conf ?

Pas par défaut, et c'est le point le plus important. rclone.conf stocke votre mot de passe crypt obscurci, pas fortement chiffré. L'obscurcissement est réversible : quiconque peut lire votre rclone.conf peut récupérer le mot de passe avec rclone reveal. Pour le protéger réellement, définissez un mot de passe de configuration via rclone config (Set configuration password), qui chiffre tout le fichier rclone.conf. Restreignez toujours les permissions du fichier et, idéalement, chiffrez-le. Traitez ce fichier comme un secret.

rclone crypt ou Cryptomator — lequel choisir ?

Les deux sont open-source, côté client et zero-knowledge : le choix porte sur le workflow. rclone crypt est un outil en ligne de commande : scriptable, parfait pour les serveurs headless et les sauvegardes automatisées, et il marche avec n'importe lequel des 70+ remotes de rclone. Cryptomator est avant tout graphique, monte un coffre chiffré comme un lecteur virtuel et propose des applis mobiles officielles iOS et Android, donc mieux pour un usage desktop/mobile interactif. Si vous vivez dans un terminal ou automatisez des sauvegardes, prenez rclone crypt. Si vous voulez un coffre à monter d'un clic, ouvrable aussi sur votre téléphone, prenez Cryptomator. Beaucoup utilisent les deux.

rclone crypt 2026 : chiffrer ses fichiers cloud côté client avant l'upload

L'essentiel

rclone crypt est une surcouche de chiffrement côté client intégrée à rclone, l'outil open-source en ligne de commande qui gère et synchronise des fichiers sur 70+ fournisseurs cloud. Le backend crypt enveloppe un autre remote et chiffre le contenu de vos fichiers — et, en option, leurs noms — sur votre propre machine avant l'upload, puis les déchiffre au téléchargement. Le fournisseur ne stocke jamais que du chiffré. Cela rend zero-knowledge n'importe quel cloud que vous lui désignez.

Pour qui ? Toute personne à l'aise dans un terminal qui veut un chiffrement scriptable et automatisable : sauvegardes chiffrées chaque nuit, serveur headless sans interface, ou simplement ajouter du chiffrement côté client par-dessus un fournisseur — Google Drive, Backblaze B2, S3, OneDrive — sans mode zero-knowledge natif. Si vous préférez éviter la ligne de commande, Cryptomator couvre le même objectif avec un coffre graphique, et nous comparons les deux plus bas.

Ce guide explique précisément comment rclone crypt chiffre, comment le configurer étape par étape, les modes de noms, et un piège honnête que la plupart des tutos oublient : la façon dont rclone.conf stocke votre mot de passe.

Comment il chiffre (contenu et noms)

rclone crypt fait tout son travail localement, avec des primitives documentées :

Le contenu des fichiers est chiffré avec XSalsa20-Poly1305, le chiffrement authentifié de la construction NaCl SecretBox. Authentifié signifie que toute altération est détectée au téléchargement.
La clé de chiffrement est dérivée de votre mot de passe via scrypt (une fonction de dérivation memory-hard), avec un second mot de passe optionnel — appelé sel, ou password2 — pour la renforcer.
Les noms de fichiers, dans le mode standard par défaut, sont chiffrés avec EME (un mode AES à bloc large) : un caractère modifié change tout le nom chiffré.

Ce qui reste visible par le fournisseur, chiffrement complet activé : à peu près la taille de chaque fichier chiffré et le nombre de fichiers. Pas le contenu, pas les noms. C'est le même principe — déplacer la confiance vers un mot de passe local — qui fonde tout le chiffrement côté client.

Un écran d'ordinateur affichant des commandes de terminal et du code source

Mettre en place rclone crypt (étapes de config)

La mise en place repose sur deux remotes : un remote de base qui parle à votre cloud, et un remote crypt qui l'enveloppe. Tout passe par rclone config.

Créer le remote de base. Lancez rclone config, choisissez n (nouveau remote), nommez-le (ex. gdrive) et suivez les invites du fournisseur (OAuth pour Google Drive, clés pour S3/B2, etc.).
Créer le remote crypt. Relancez rclone config, n pour nouveau, nommez-le (ex. secret) et choisissez le backend crypt.
Pointez-le vers un sous-dossier du remote de base, pour que les blobs chiffrés atterrissent dans un dossier dédié :

remote> gdrive:encrypted

Choisissez les modes de chiffrement des noms de fichiers et de dossiers (voir la section suivante), puis définissez un mot de passe et, en option, un second mot de passe (sel). Vous pouvez laisser rclone en générer un fort, aléatoire.

Une fois le remote secret: créé, chiffrer et uploader tient en une commande :

rclone copy ~/fichiers secret:

Tout ce qui est écrit dans secret: est chiffré localement et stocké sous gdrive:encrypted. La relecture (rclone copy secret: ~/restore) déchiffre de façon transparente. Le même schéma marche avec rclone sync, rclone mount et toute autre commande rclone.

Modes de chiffrement des noms

À la création du remote crypt, rclone demande comment traiter les noms de fichiers. Trois modes :

Mode	Ce qu'il fait	Compromis
`standard`	Chiffre les noms avec EME (AES) — le défaut	Confidentialité maximale ; noms chiffrés plus longs
`obfuscate`	Un brouillage plus léger des noms	Plus rapide, noms plus courts, plus faible que standard
`off`	Les noms restent lisibles	Aucune confidentialité des noms ; l'arborescence fuit

Le chiffrement des noms de dossiers est un réglage oui/non distinct. L'activer cache aussi votre arborescence au fournisseur. Si vous mettez le chiffrement des noms de fichiers et de dossiers sur off, seul le contenu est protégé et le fournisseur voit toute votre structure de dossiers — métadonnée utile à un attaquant. Préférez standard sauf raison précise.

Le piège du rclone.conf (mot de passe obscurci)

C'est le point que la plupart des guides oublient, et il compte. Par défaut, rclone stocke votre mot de passe crypt dans rclone.conf obscurci — pas fortement chiffré. L'obscurcissement est réversible : quiconque peut lire le fichier peut récupérer le mot de passe (rclone reveal fait exactement ça). Un rclone.conf qui fuit fait donc fuiter votre clé de chiffrement.

Deux choses à faire :

Définir un mot de passe de configuration. Dans rclone config, choisissez Set configuration password (s). Cela chiffre tout le fichier rclone.conf, de sorte que le mot de passe crypt obscurci n'est plus lisible sans ce mot de passe de config.
Verrouiller le fichier. Restreignez les permissions (chmod 600 rclone.conf), gardez-le hors des emplacements partagés ou sauvegardés en clair, et traitez-le comme un secret sur tout serveur headless.

Et une règle sans contournement : si vous perdez le mot de passe crypt, vos données sont irrécupérables. Aucune réinitialisation, aucune clé de secours, aucune hotline. Sauvegardez le mot de passe dans un gestionnaire de mots de passe avec une copie hors-ligne chiffrée.

rclone crypt vs Cryptomator (lequel choisir)

Les deux sont open-source, côté client et zero-knowledge. La différence porte sur l'interface et le workflow, pas sur le modèle de sécurité.

	rclone crypt	Cryptomator
Interface	Ligne de commande (CLI)	Graphique (GUI)
Modèle d'accès	Commandes rclone / `rclone mount`	Monte un coffre comme lecteur virtuel
Idéal pour	Serveurs headless, sauvegardes automatisées, scripts	Usage desktop et mobile interactif
Fournisseurs	N'importe lequel des 70+ remotes rclone	Clients cloud (Dropbox, Drive, iCloud, pCloud, OneDrive…)
Applis mobiles officielles	Non	Oui (iOS + Android)
Open-source	Oui	Oui
Zero-knowledge	Oui	Oui

Choisissez rclone crypt si vous automatisez des sauvegardes, faites tourner une machine headless ou voulez chiffrer par-dessus n'importe quel remote rclone en ligne de commande. Choisissez Cryptomator si vous voulez un coffre à monter d'un clic, ouvrable aussi sur votre téléphone. Ce ne sont pas des rivaux — beaucoup utilisent rclone crypt pour les sauvegardes serveur et Cryptomator pour les fichiers desktop quotidiens. Pour choisir le fournisseur à placer sous l'un ou l'autre outil, voyez notre panorama des services de cloud chiffré.

Conclusion

rclone crypt transforme n'importe lequel des 70+ fournisseurs cloud en cible zero-knowledge avec des primitives éprouvées — XSalsa20-Poly1305 pour le contenu, scrypt pour la clé, EME pour les noms. C'est le bon outil quand vous voulez un chiffrement côté client automatisable et scriptable, surtout sur un serveur. Les deux points à bien régler sont honnêtes : prenez le chiffrement de noms standard sauf raison contraire, et protégez rclone.conf avec un mot de passe de configuration, car le mot de passe crypt y est seulement obscurci, pas chiffré. Faites cela, gardez une sauvegarde sûre du mot de passe, et vous avez un chiffrement côté client qui survit à une faille ou une réquisition chez le fournisseur.

FAQ

Les questions les plus fréquentes sont couvertes dans le bloc FAQ structuré ci-dessus (également affiché dans le rich snippet Google) : ce qu'est rclone crypt et pour qui, la cryptographie utilisée, le chiffrement des noms de fichiers et dossiers, la sécurité du mot de passe dans rclone.conf, et la comparaison avec Cryptomator.

Questions fréquentes

Qu'est-ce que rclone crypt et pour qui ?: rclone crypt est un backend (une surcouche) de rclone, l'outil open-source en ligne de commande qui synchronise des fichiers sur 70+ fournisseurs cloud. crypt enveloppe un autre remote et chiffre le contenu de vos fichiers (et, en option, leurs noms) sur votre machine avant l'upload, puis déchiffre au téléchargement. Le fournisseur cloud ne stocke jamais que du chiffré : c'est zero-knowledge. Il vise les personnes à l'aise avec un terminal : sauvegardes chiffrées automatisées, serveur headless, ou ajout d'un chiffrement côté client par-dessus un fournisseur sans option zero-knowledge native (Google Drive, Backblaze B2, S3, OneDrive…).
Quelle cryptographie utilise rclone crypt ?: Le contenu des fichiers est chiffré avec XSalsa20-Poly1305, le chiffrement authentifié de la construction NaCl SecretBox. La clé est dérivée de votre mot de passe via scrypt, avec un second mot de passe optionnel (appelé sel, ou password2) pour renforcer encore. Les noms de fichiers, dans le mode standard par défaut, sont chiffrés avec EME (un mode AES à bloc large). Tout se passe localement avant tout transit réseau : ni le contenu ni les noms n'atteignent le fournisseur en clair.
rclone crypt chiffre-t-il aussi les noms de fichiers et de dossiers ?: Oui, en option. Le mode de noms par défaut est standard, qui chiffre les noms de fichiers avec EME (AES). Vous pouvez aussi choisir obfuscate (un brouillage plus léger et rapide) ou off (les noms restent lisibles). Le chiffrement des noms de dossiers est un réglage séparé, activable ou non pendant la config. Si vous mettez le chiffrement des noms de fichiers et de dossiers sur off, seul le contenu est protégé et l'arborescence reste visible par le fournisseur, ce qui peut fuiter des métadonnées.
Mon mot de passe est-il en sécurité dans rclone.conf ?: Pas par défaut, et c'est le point le plus important. rclone.conf stocke votre mot de passe crypt obscurci, pas fortement chiffré. L'obscurcissement est réversible : quiconque peut lire votre rclone.conf peut récupérer le mot de passe avec rclone reveal. Pour le protéger réellement, définissez un mot de passe de configuration via rclone config (Set configuration password), qui chiffre tout le fichier rclone.conf. Restreignez toujours les permissions du fichier et, idéalement, chiffrez-le. Traitez ce fichier comme un secret.
rclone crypt ou Cryptomator — lequel choisir ?: Les deux sont open-source, côté client et zero-knowledge : le choix porte sur le workflow. rclone crypt est un outil en ligne de commande : scriptable, parfait pour les serveurs headless et les sauvegardes automatisées, et il marche avec n'importe lequel des 70+ remotes de rclone. Cryptomator est avant tout graphique, monte un coffre chiffré comme un lecteur virtuel et propose des applis mobiles officielles iOS et Android, donc mieux pour un usage desktop/mobile interactif. Si vous vivez dans un terminal ou automatisez des sauvegardes, prenez rclone crypt. Si vous voulez un coffre à monter d'un clic, ouvrable aussi sur votre téléphone, prenez Cryptomator. Beaucoup utilisent les deux.

Choix éditorial

4.5 / 5

Ajoute le chiffrement zero-knowledge → pCloud Crypto

Chiffrement côté client · toi seul as la clé · juridiction suisse

Société suisse depuis 2013Satisfait ou remboursé 10jFree 10 GB

Voir l'offre