PwdFortress

Qui écrit sur PwdFortress

Notre équipe : qui on est, ce qu'on teste, et pourquoi on prend la sécurité des mots de passe au sérieux.

EG

Eric Gerard

Éditeur · Spécialiste gestionnaires de mots de passe et cryptographie applicative

Éditeur indépendant depuis 12 ans, ancien administrateur réseau d'une PME industrielle française (Cisco CCNA 2014). Sur PwdFortress, je teste chaque gestionnaire de mots de passe comme un client payant — création de coffre, import depuis Chrome/Bitwarden/1Password, tests de partage chiffré, audit du modèle de menace zero-knowledge. Aucun chiffre publié ne provient d'une fiche commerciale.

Mon parcours commence en 2010 comme administrateur réseau d'une PME industrielle française : trois sites, deux pare-feux Cisco ASA, et la responsabilité du domaine Active Directory avec ses politiques de complexité de mot de passe. C'est sur ce poste que j'ai constaté l'écart entre les politiques imposées par les RSSI (12 caractères, rotation 90 jours, complexité) et la réalité des post-it sous le clavier des opératrices. J'ai obtenu la certification Cisco CCNA en 2014 puis basculé vers l'édition tech d'affiliation. Sur PwdFortress, je travaille en self-taught sur la cryptographie appliquée : lecture des RFC (RFC 8018 PBKDF2, RFC 9106 Argon2, RFC 8949 CBOR pour WebAuthn), audit des livres blancs Bitwarden et 1Password, vérification des audits indépendants Cure53 et Praetorian publiés sur les gestionnaires recommandés. Je teste chaque produit pendant au moins 14 jours en client réel : création de coffre, import d'autres gestionnaires, partage chiffré, breach monitoring, recovery account. Je publie sous mon nom complet et je réponds personnellement aux questions techniques via le formulaire de contact.

12+ ans en édition tech et infrastructure réseau

Une question sur un gestionnaire testé ou un modèle de menace ? Écris-moi directement à contact@pwdfortress.com — je réponds personnellement.

Domaines couverts

  • Tests de gestionnaires de mots de passe (Bitwarden, 1Password, Proton Pass, NordPass, Dashlane, KeePassXC)
  • Audit du modèle zero-knowledge : dérivation Argon2 / PBKDF2, vault encryption AES-256, sealed sharing
  • Tests passkeys (WebAuthn / FIDO2) côté navigateur Chrome, Safari, Firefox et clés YubiKey
  • Audit 2FA : TOTP, push, SMS, hardware tokens, codes de récupération
  • Migration entre gestionnaires : export sécurisé, import et purge de l'ancien coffre

Notre équipe étendue

Au-delà d'Eric, nos articles techniques passent par une boucle de relecture par des consultants externes anonymisés à leur demande. Ce ne sont pas des co-auteurs : ce sont des relecteurs payés à la prestation pour vérifier les claims cryptographiques avant publication.

  • Reviewer technique #1 — Cryptographie appliquée

    13 ans d'expérience en cryptographie applicative (équipe sécurité d'une fintech française), expertise dérivation de clés (Argon2, scrypt, PBKDF2), audit de schémas de chiffrement de coffre, revue de code TypeScript / Rust autour de libsodium. Vérifie nos claims sur les paramètres de KDF (mémoire, iterations) et la résistance aux attaques GPU avant publication. Délai moyen de relecture : 6 jours ouvrés.

  • Reviewer technique #2 — Identity & WebAuthn

    10 ans en identity management et standards FIDO (ancien implémenteur d'un IdP entreprise OIDC + WebAuthn). Vérifie nos articles sur passkeys, attestation des authenticators, syncing iCloud Keychain / Google Password Manager, et risques de cross-device handoff. Délai moyen de relecture : 7 jours ouvrés.

Standards éditoriaux

Chaque article publié sur PwdFortress suit le processus suivant, sans exception ni raccourci.

  • Peer review technique avant publication

    Tout article contenant des affirmations cryptographiques mesurables (paramètres KDF, modèle de menace, claims de sécurité) est relu par un de nos deux reviewers techniques. Les claims non vérifiables sont retirés.

  • Sources primaires obligatoires

    Chaque chiffre ou paramètre cryptographique cité doit pointer vers la documentation officielle du gestionnaire (livre blanc, doc développeur) ou un audit indépendant publié (Cure53, Praetorian, NCC Group). Les déclarations marketing ne sont jamais reprises sans vérification.

  • Cycle de révision maximal 90 jours

    Aucun article ne reste publié plus de 90 jours sans révision de son contenu technique. La date dans le frontmatter (datePublished / dateModified) reflète la dernière vérification réelle, pas un build CI cosmétique.

  • Politique de correction publique

    Si une erreur factuelle est signalée, nous corrigeons sous 48 heures ouvrées et ajoutons une note datée en pied d'article expliquant la modification. Aucune correction silencieuse.

  • Conflits d'intérêts déclarés sur chaque page

    Les pages contenant des liens d'affiliation portent un disclaimer en tête : bandeau permanent + attribut HTML rel="sponsored nofollow" sur tous les liens commerciaux. Aucune exception.

Voir notre processus de test en détail

Lire la méthodologie complète