Retour au blogActualites

Securite des mots de passe : ce que tout le monde devrait savoir

20 décembre 202510 min de lecture

Les Sables Web

Fondateur, Les Sables Web

SecuriteRGPD

Introduction

Selon le rapport Verizon Data Breach Investigations de 2024, 81 % des violations de donnees impliquent des mots de passe faibles ou voles. Malgre les avancees technologiques, le mot de passe reste le maillon faible de la securite numerique.

Le probleme n'est pas le concept du mot de passe lui-meme, mais la facon dont les humains les utilisent : trop courts, trop previsibles, reutilises partout. Ce guide vous donne les cles pour une hygiene de mots de passe solide.

Les erreurs les plus courantes

Le top 10 des mots de passe les plus utilises

Selon NordPass (2024), les mots de passe les plus courants dans le monde sont encore :

  1. 123456
  2. password
  3. 123456789
  4. 12345
  5. 12345678
  6. qwerty
  7. abc123
  8. 1234567
  9. password1
  10. 111111

En France, « azerty », « marseille » et « loulou » figurent dans le top 20.

La reutilisation

65 % des utilisateurs reutilisent le meme mot de passe sur plusieurs sites (Google/Harris Poll, 2023). Si un seul site est pirate, tous vos comptes sont compromis. C'est le credential stuffing : les attaquants testent automatiquement des paires email/mot de passe volees sur des centaines de sites.

Les mots de passe « intelligents »

Remplacer « password » par « P@ssw0rd » ne trompe personne. Les attaquants connaissent toutes les substitutions courantes (a→@, e→3, o→0). Ces mots de passe sont casses en quelques secondes.

Comment creer un bon mot de passe

La longueur prime sur la complexite

Un mot de passe de 16 caracteres compose de mots aleatoires est plus solide et plus facile a retenir qu'un mot de passe de 8 caracteres avec des symboles. C'est le concept de passphrase :

  • Faible : Tr0ub4dor&3 (11 caracteres, difficile a retenir, facile a casser par dictionnaire)
  • Fort : girafe-telescope-ananas-riviere (31 caracteres, facile a retenir, extremement long a casser par force brute)

Le temps de cassage par force brute augmente exponentiellement avec la longueur :

  • 8 caracteres (lettres + chiffres) : quelques heures
  • 12 caracteres : plusieurs annees
  • 16 caracteres : des millions d'annees
  • 20+ caracteres : impossible avec la technologie actuelle

La methode Diceware

La methode Diceware utilise des des pour selectionner des mots aleatoires dans une liste. Cinq lancers de des = un mot. Quatre a six mots = un mot de passe robuste.

Cette methode garantit l'aleatoire veritable (les humains sont mauvais pour generer de l'aleatoire) et produit des passphrases memorisables.

Les gestionnaires de mots de passe

La seule solution realiste pour gerer des dizaines de mots de passe uniques et complexes est un gestionnaire de mots de passe.

Le principe

Vous retenez un seul mot de passe maitre (votre passphrase la plus solide). Le gestionnaire genere, stocke et remplit automatiquement des mots de passe uniques pour chaque site.

Les solutions recommandees

  • Bitwarden : open source, gratuit pour un usage personnel, audite regulierement. Notre recommandation.
  • 1Password : excellent pour les familles et les equipes. Interface tres soignee. A partir de 2,99 $/mois.
  • KeePassXC : open source, entierement local (pas de cloud). Pour les utilisateurs qui veulent un controle total.

Ce qu'il faut eviter

  • Stocker les mots de passe dans un fichier texte ou un tableur
  • Utiliser le gestionnaire integre du navigateur seul (moins securise qu'un gestionnaire dedie)
  • Ecrire les mots de passe sur des post-it colles a l'ecran

L'authentification a deux facteurs (2FA)

Le principe

Le 2FA ajoute une deuxieme verification apres le mot de passe : quelque chose que vous possedez (telephone, cle physique) en plus de quelque chose que vous connaissez (mot de passe).

Les methodes par ordre de securite

  1. Cle physique (YubiKey, Titan) : la plus sure, immune au phishing
  2. Application TOTP (Google Authenticator, Authy) : codes a 6 chiffres qui changent toutes les 30 secondes
  3. SMS : mieux que rien, mais vulnerable au SIM swapping (echange de carte SIM)

Activez le 2FA partout

Activez le 2FA au minimum sur :

  • Votre email principal (c'est la cle de tous vos autres comptes)
  • Vos comptes bancaires
  • Vos reseaux sociaux
  • Votre hebergeur web et vos outils professionnels

L'avenir : les passkeys

Les passkeys (cles d'acces), basees sur le standard FIDO2/WebAuthn, remplacent les mots de passe par une authentification biometrique (empreinte digitale, reconnaissance faciale) ou par un code PIN sur votre appareil.

Depuis 2023, Apple, Google et Microsoft supportent les passkeys nativement. Aucun mot de passe n'est transmis ni stocke sur le serveur — c'est une revolution pour la securite.

Conclusion

La securite de vos mots de passe est une responsabilite quotidienne. Installez un gestionnaire de mots de passe, generez des mots de passe uniques de 16+ caracteres, activez le 2FA partout et migrez progressivement vers les passkeys. C'est un effort initial minime pour une protection majeure.

Partager :
Contact

Parlons de votre projet

Decrivez votre besoin en quelques lignes. Je vous reponds sous 24h avec une premiere analyse et un devis gratuit, sans engagement.

Appelez-moi directement

07 72 20 10 42

En soumettant ce formulaire, vous acceptez que vos donnees soient utilisees pour repondre a votre demande. Aucune donnee n'est partagee avec des tiers. Politique de confidentialite. Ce site est protege par reCAPTCHA et les Regles de confidentialite et Conditions d'utilisation de Google s'appliquent.