PawaSeal — Encrypted Secret Link

Chiffrez un secret directement dans votre navigateur et générez un lien partageable.

PawaSeal permet de chiffrer un mot de passe temporaire, un token, une variable .env, une note d’incident ou une information sensible avant de la transmettre. Le contenu est chiffré côté navigateur avec l’API Web Crypto.

PawaSeal encrypts secrets directly in your browser and generates a sealed link that can be shared. Useful for temporary passwords, tokens, .env snippets, incident notes and sensitive Ops data.

Outil / Tool

Secret to seal

Expiration

Split mode: generate a sealed link and a separate key

Sealed link

Separate key

Decrypt / Open sealed content

Sealed payload or sealed link

Key, if separate

Decrypted secret

Status

Ready.

Pourquoi PawaSeal existe

En administration systèmes, on finit toujours par devoir transmettre une information sensible : un mot de passe temporaire, une clé d’API, un token de récupération, un accès VPN, une variable d’environnement, une configuration de test ou une note d’incident.

Le mauvais réflexe consiste à coller cette information en clair dans un email, un ticket, un chat, un canal Discord, un message Slack ou une documentation temporaire. C’est pratique sur le moment, mais dangereux à moyen terme. Le secret reste souvent indexé, synchronisé, sauvegardé, transféré ou oublié dans un historique.

PawaSeal répond à ce problème simple : chiffrer rapidement une donnée sensible avant de la transmettre. L’objectif n’est pas de remplacer un gestionnaire de secrets d’entreprise, mais de fournir un outil pratique pour les échanges ponctuels.

Ce que fait l’outil

PawaSeal prend un texte sensible, le chiffre dans le navigateur, puis génère un lien contenant le contenu chiffré. La clé de déchiffrement peut être intégrée dans le lien complet ou séparée du lien en mode split.

Le mode recommandé est le mode séparé :

envoyer le lien chiffré par un canal ;
envoyer la clé par un autre canal ;
éviter de mettre lien et clé dans le même message.

Exemple : envoyer le lien dans un ticket interne et communiquer la clé par téléphone, SMS ou message séparé. Cela ne rend pas l’échange parfait, mais réduit fortement le risque lié à l’interception ou à l’historique d’un seul canal.

Ce que l’outil ne fait pas

Cette version de PawaSeal est volontairement simple et fonctionne sans backend. Cela implique plusieurs limites importantes.

Il n’y a pas de suppression serveur, car rien n’est stocké côté serveur par cet outil.
Le mode “burn after reading” réel nécessite un backend.
L’expiration est incluse dans le contenu chiffré et vérifiée au déchiffrement.
Si quelqu’un possède le lien complet avec la clé, il peut déchiffrer le secret.
Un secret déjà compromis ne redevient pas sûr parce qu’il a été chiffré après coup.

Cette honnêteté est importante. Un outil de sécurité qui promet trop devient dangereux. PawaSeal doit être compris comme un outil de réduction de risque, pas comme une garantie absolue.

Comment fonctionne le chiffrement

PawaSeal utilise le chiffrement symétrique AES-GCM via l’API Web Crypto disponible dans les navigateurs modernes. Une clé aléatoire est générée côté navigateur. Le secret est chiffré localement, puis encodé dans un format transportable.

En mode split, le lien contient seulement le contenu chiffré. La clé est affichée séparément. Sans cette clé, le contenu n’est pas exploitable.

En mode lien complet, la clé est incluse dans le fragment de l’URL. C’est plus pratique, mais moins robuste opérationnellement, car toute personne ayant le lien complet peut lire le secret.

Cas d’usage concrets

Mot de passe temporaire

Lorsqu’un accès temporaire doit être transmis à un prestataire, un collègue ou un client, il vaut mieux éviter de l’envoyer en clair. PawaSeal permet de transmettre un secret lisible seulement par la personne qui possède la clé.

Token API

Les tokens API sont souvent copiés trop vite dans des tickets ou des chats. Même pour un environnement de test, cela crée une mauvaise habitude. Un token doit être transmis avec prudence et révoqué dès qu’il n’est plus nécessaire.

Snippet .env

Les fichiers .env contiennent souvent des secrets : chaînes de connexion, mots de passe, clés privées, tokens JWT, secrets applicatifs. En transmettre un extrait sans protection est rarement une bonne idée.

Note d’incident

Pendant un incident, la pression pousse à partager vite. C’est précisément dans ces moments que les secrets finissent dans les mauvais endroits. PawaSeal peut servir à isoler une information sensible du reste du rapport d’incident.

Bonnes pratiques d’utilisation

Préférer le mode “clé séparée”.
Envoyer le lien et la clé par deux canaux différents.
Éviter de transmettre des secrets permanents.
Révoquer ou faire expirer les secrets après usage.
Ne pas coller de clé privée longue durée dans un outil temporaire.
Ne pas considérer un lien complet comme privé s’il circule dans plusieurs outils.

Différence avec un gestionnaire de mots de passe

Un gestionnaire de mots de passe reste la meilleure solution pour stocker et partager durablement des secrets dans une équipe. Il gère les permissions, l’historique, les coffres, les révocations et parfois les politiques d’entreprise.

PawaSeal est différent. Il sert à créer un échange ponctuel, rapide, chiffré, sans compte et sans workflow lourd. C’est un outil de dépannage propre, pas un coffre-fort complet.

Position d’administrateur systèmes

La bonne stratégie n’est pas de multiplier les secrets transmis à la main. La bonne stratégie est de réduire leur durée de vie, limiter leur portée, les transmettre proprement quand c’est nécessaire, puis les révoquer.

PawaSeal aide sur une partie précise du problème : la transmission ponctuelle. Pour le reste, il faut conserver les fondamentaux : rotation, moindre privilège, journalisation, séparation des environnements et gestion sérieuse des accès.

PawaSeal is a practical tool for temporary encrypted sharing. It does not replace proper secret management, access control, rotation policies or a real password manager.