Combien la taille du fichier augmente-t-elle ?

Dépend du preset. **Low** : +30-60 % (essentiellement compactage et array de chaînes). **Medium** : +150-300 % (ajoute le control flow flattening et la rotation d'array). **High** : **+500-1500 %** (dead code injection plus self-defending). Un fichier de 5 ko en preset High peut grimper à 60-80 ko. **Gzip et brotli** aident beaucoup en revanche : la taille transférée sur le fil est bien plus petite que le chiffre brut le suggère.

À quel point mon code va-t-il ralentir à l'exécution ?

Dépend aussi du preset. **Low** : essentiellement zéro (1-2 % d'overhead). **Medium** : perceptible sur les hot paths, environ **2-5x plus lent** dans les fonctions qui touchent l'array de chaînes en rotation. **High** : `controlFlowFlattening` plus `deadCodeInjection` peuvent **ralentir le code de 10 à 30x**. Pour de la logique UI ordinaire (gestionnaires de clic, soumissions de formulaire), personne ne remarquera. Pour les **boucles serrées, animations, parsers**, n'utilisez pas le preset High.

Fonctionne-t-il sur du code minifié ou un bundle webpack/Vite/Rollup ?

Oui. **Obfusquez après la minification** (donc c'est la dernière étape du pipeline de build). La sortie de `vite build`, `webpack --mode production`, `esbuild` est une bonne entrée : l'obfuscateur la prend et l'emmêle davantage. Pour de bons ratios gzip, placez l'obfuscation **avant gzip** (le serveur gzippe alors le code obfusqué).

Et les modules ES (import/export), TypeScript, JSX ?

L'obfuscateur accepte **ES2020+** (`import`, `export`, top-level await, optional chaining, etc.). Le **TypeScript** doit d'abord être compilé en JS (par exemple `tsc`, `esbuild`) : l'obfuscateur ne lit pas les types. Le **JSX** aussi : compilez-le via Babel/SWC en `React.createElement` (ou le nouveau `_jsx`), puis obfusquez le résultat.

Et les source maps ? Puis-je toujours déboguer en production ?

L'obfuscateur peut émettre une source map (`sourceMap: true`), **mais cela ruine tout l'intérêt** : la map est littéralement un fichier qui traduit les noms obfusqués en originaux. Si vous la publiez, n'importe qui clique sur « Pretty print » dans DevTools et obtient du code propre. Règle d'or : **ne publiez jamais de source maps pour du code obfusqué**. Gardez la map privée dans Sentry/Rollbar, désobfusquez les stack traces côté serveur.

La sortie tourne-t-elle dans tous les navigateurs ?

Oui : la sortie est du JavaScript standard. Par défaut, l'obfuscateur cible **ES2015+** (Chrome 49+, Firefox 45+, Safari 10+). Si vous devez supporter IE11, faites passer le code par Babel et des polyfills d'abord, **puis** obfusquez.

Le code que je colle quitte-t-il mon navigateur ?

**Non.** Tout le processus tourne dans votre navigateur : le package `javascript-obfuscator` charge en JS sur votre machine, prend votre code en chaîne et renvoie le résultat. **Zéro trafic réseau** au-delà du téléchargement initial de la librairie (une fois, mis en cache). Vous pouvez couper internet une fois la page chargée et l'outil fonctionne toujours.

Puis-je annuler l'obfuscation si je perds l'original ?

Il n'existe **pas d'opération inverse « désobfusquer vers l'original »** : l'obfuscateur jette les noms de variables et la structure. Vous ne pouvez que **embellir** (Prettier) et renommer les variables à la main (« ce _0x4857 ressemble à un handler de réponse »). C'est **des heures de travail**. **Conservez toujours la version source** dans Git : le fichier obfusqué est un artefact de build, pas la source de vérité.

Quel preset choisir pour un projet ordinaire ?

**Medium** est un défaut raisonnable. Il rend la lecture du code nettement plus dure, l'overhead runtime est mineur et la taille de fichier reste raisonnable. Utilisez **Low** quand vous obfusquez tout un bundle d'app (disons 500 ko) et ne voulez pas tripler sa taille. Réservez **High** aux **fragments sensibles** : ce module de vérification de licence de 50 lignes, pas tout le bundle.

Obfuscateur JavaScript - gratuit

Obfuscateur JavaScript

Collez du JavaScript à gauche, choisissez un preset, obtenez la sortie obfusquée à droite. Tout tourne dans votre navigateur — le code ne sort jamais.

L'obfuscation n'est pas du chiffrement. Elle élève la barrière contre la lecture casual, mais un attaquant déterminé peut toujours récupérer du code lisible.

Pourquoi obfusquer du JavaScript ?

Tout ce que vous livrez au navigateur : code JS, endpoints d'API, logique de paywall, vérifications de licence peut être ouvert dans DevTools en 3 secondes et lu comme un livre. L'obfuscation n'est pas du chiffrement (impossible par définition : le navigateur doit toujours exécuter le code), mais elle relève la barre technique pour qu'un `Ctrl+F` désinvolte dans l'onglet Sources ne trouve rien d'intéressant.

Les variables sont renommées en choses du type `_0x4857`, les chaînes partent dans une table de lookup chiffrée, le control flow est « aplati » et emmêlé, les nombres deviennent des expressions (`5` devient `0x1 + 0x4`). Tout se comporte identiquement à l'exécution.

Collez votre code, choisissez un preset (Low / Medium / High) ou activez les options individuelles, copiez ou téléchargez le résultat. Tout tourne dans votre navigateur : le code ne quitte jamais votre machine. Important, car vous obfusquez en général exactement le genre de chose que vous ne voulez pas partager.

Mode d'emploi

Collez le code JavaScript dans le panneau de gauche ou cliquez sur « Upload file » pour charger `.js`, `.ts`, `.mjs` depuis le disque.
Choisissez un preset : Low (léger maquillage), Medium (défaut raisonnable), High (brouillage maximum, runtime plus lent).
Dépliez éventuellement les options avancées et activez les flags individuels (par exemple selfDefending, désactivez deadCodeInjection).
À droite, vous voyez la sortie obfusquée plus une comparaison de taille : plus le preset est élevé, plus le fichier est gros.
Testez le résultat dans DevTools : il doit se comporter à l'identique de l'original. Si quelque chose casse, redescendez le preset.
Cliquez sur « Copier » pour coller dans votre bundler ou « Télécharger » pour enregistrer sous `obfuscated.js`.
Livrez la version obfusquée en production. Gardez le code original privé : le fichier obfusqué est l'artefact, pas la source.

Quand ça aide

Situations concrètes où l'obfuscation est rentable :

Un algorithme propriétaire côté client. Par exemple un moteur de recommandation custom, un algorithme de tri original, un jeu de règles de jeu navigateur sur mesure.
Validation de licence dans une app SaaS. Le client a le JS, mais un crack rapide (« supprime ce `if (!valid) return` ») est plus dur quand `valid` n'existe plus comme nom.
Cacher des endpoints d'API. Les URLs et clés restent visibles (à qui s'acharne), mais ne ressortent pas en un grep d'une seconde.
Protéger le code de la concurrence. Une petite boîte qui livre une librairie SaaS hébergée par les clients : l'obfuscation augmente le coût de cloner votre logique.
Anti-tampering pour widgets. Widgets de chat, formulaires de lead-gen, snippets analytics : l'obfuscation rend leur modification live plus difficile.
Extensions de navigateur et userscripts. Si vous distribuez un userscript, l'obfuscation décourage le « fork et revente sous mon nom ».

Ensuite, optimisez aussi vos assets SVG ou convertissez le HTML en JSX. Pour une vraie sécurité côté client, utilisez plutôt un générateur de mot de passe fort.

Questions fréquentes

Non. L'obfuscation est plus difficile à lire, pas chiffrée. Le code doit toujours s'exécuter dans le navigateur, donc le moteur JS doit comprendre chaque instruction. Quiconque veut bien y mettre un peu de travail (5 à 30 minutes avec des outils comme deobfuscator.io, AST explorer, prettier) peut retrouver du code lisible. C'est un ralentisseur contre les script kiddies, pas un coffre-fort contre un attaquant déterminé. Ne mettez jamais de vrais secrets (clés API privées, clés de chiffrement) dans du code obfusqué ; gardez-les côté backend.

Obfuscateur JavaScript

Collez du JavaScript à gauche, choisissez un preset, obtenez la sortie obfusquée à droite. Tout tourne dans votre navigateur — le code ne sort jamais.

L'obfuscation n'est pas du chiffrement. Elle élève la barrière contre la lecture casual, mais un attaquant déterminé peut toujours récupérer du code lisible.

Pourquoi obfusquer du JavaScript ?

Mode d'emploi

Collez le code JavaScript dans le panneau de gauche ou cliquez sur « Upload file » pour charger `.js`, `.ts`, `.mjs` depuis le disque.

Choisissez un preset : Low (léger maquillage), Medium (défaut raisonnable), High (brouillage maximum, runtime plus lent).

Dépliez éventuellement les options avancées et activez les flags individuels (par exemple selfDefending, désactivez deadCodeInjection).

À droite, vous voyez la sortie obfusquée plus une comparaison de taille : plus le preset est élevé, plus le fichier est gros.

Testez le résultat dans DevTools : il doit se comporter à l'identique de l'original. Si quelque chose casse, redescendez le preset.

Cliquez sur « Copier » pour coller dans votre bundler ou « Télécharger » pour enregistrer sous `obfuscated.js`.

Livrez la version obfusquée en production. Gardez le code original privé : le fichier obfusqué est l'artefact, pas la source.

Quand ça aide

Situations concrètes où l'obfuscation est rentable :

Un algorithme propriétaire côté client. Par exemple un moteur de recommandation custom, un algorithme de tri original, un jeu de règles de jeu navigateur sur mesure.
Validation de licence dans une app SaaS. Le client a le JS, mais un crack rapide (« supprime ce `if (!valid) return` ») est plus dur quand `valid` n'existe plus comme nom.
Cacher des endpoints d'API. Les URLs et clés restent visibles (à qui s'acharne), mais ne ressortent pas en un grep d'une seconde.
Protéger le code de la concurrence. Une petite boîte qui livre une librairie SaaS hébergée par les clients : l'obfuscation augmente le coût de cloner votre logique.
Anti-tampering pour widgets. Widgets de chat, formulaires de lead-gen, snippets analytics : l'obfuscation rend leur modification live plus difficile.
Extensions de navigateur et userscripts. Si vous distribuez un userscript, l'obfuscation décourage le « fork et revente sous mon nom ».

Ensuite, optimisez aussi vos assets SVG ou convertissez le HTML en JSX. Pour une vraie sécurité côté client, utilisez plutôt un générateur de mot de passe fort.

Questions fréquentes

Obfuscateur JavaScript