Navigation privée VPN Enceintes Données Mots de passe Applications HTTPS Gratuit IoT Téléphone Antivirus
Mots de passe

Mot de passe fort ne suffit pas

La force d'un mot de passe ne protège que contre une attaque par force brute. Ce n'est pas la principale menace. La réutilisation et l'absence de second facteur sont les vrais vecteurs d'exposition.


Ce qu'on croit

Un mot de passe long et complexe — avec majuscules, chiffres et caractères spéciaux — est suffisant pour sécuriser un compte. Plus il est fort, moins on risque d'être piraté.

Ce qui est vrai

La force d'un mot de passe ne protège que contre les attaques par force brute. La majorité des compromissions de comptes viennent de fuites de bases de données, de phishing, ou de réutilisation — pas du craquage du mot de passe.

Comment les comptes sont réellement compromis

Selon les données de Have I Been Pwned, plus de 12 milliards de couples email/mot de passe issus de fuites de données circulent publiquement. Quand un site où vous êtes inscrit est compromis, vos identifiants peuvent se retrouver dans ces bases — peu importe la complexité de votre mot de passe. Un mot de passe "fort" mais connu des attaquants via une fuite est inutile.

Le deuxième vecteur est le phishing : vous entrez votre mot de passe sur un faux site. La complexité du mot de passe n'a aucun impact — vous le donnez directement. Le troisième vecteur est la réutilisation : si le même mot de passe est utilisé sur plusieurs sites, la compromission d'un service expose tous les autres. C'est le vecteur le plus courant et le plus évitable.

Le gestionnaire de mots de passe — la seule solution viable

Un humain ne peut pas mémoriser 200 mots de passe uniques et complexes — un pour chaque service utilisé. Un gestionnaire de mots de passe génère et stocke des mots de passe aléatoires longs pour chaque service, protégés par un seul mot de passe maître. Bitwarden (open source, gratuit), 1Password, et Dashlane sont des options reconnues. La sécurité dépend alors d'un seul mot de passe fort et unique — le mot de passe maître — qu'on peut mémoriser.

Un avantage souvent ignoré des gestionnaires : ils n'autocomplètent les credentials que sur le bon domaine. Un gestionnaire configuré pour votre banque ne remplira pas ses credentials sur un faux site de phishing dont l'URL ne correspond pas exactement. C'est une protection contre le phishing que ni la complexité du mot de passe ni la vigilance humaine ne remplacent efficacement.

L'authentification à deux facteurs — le vrai game changer

L'authentification à deux facteurs (2FA) ajoute un deuxième élément de vérification en plus du mot de passe : un code généré par une application (TOTP), une notification push, ou une clé physique (FIDO2/YubiKey). Même si votre mot de passe est exposé via une fuite ou un phishing, l'attaquant ne peut pas accéder au compte sans ce deuxième facteur.

Les SMS comme second facteur sont à éviter quand possible — ils sont vulnérables aux attaques par SIM swapping (une arnaque téléphonique qui transfère votre numéro vers un autre opérateur). Les applications TOTP (Google Authenticator, Authy, ou le 2FA intégré dans Bitwarden) sont significativement plus robustes. Les clés FIDO2 physiques sont la solution la plus solide pour les accès critiques.

Priorité d'action

Dans l'ordre : installer un gestionnaire de mots de passe, générer des mots de passe uniques pour chaque service (commencer par les plus critiques : email, banque, réseaux sociaux), activer le 2FA sur ces mêmes comptes. Vérifier si votre adresse email figure dans une fuite connue sur haveibeenpwned.com. Voir aussi la page sur les permissions d'applications qui peuvent exposer vos données indépendamment de vos mots de passe.

Les attaques par credential stuffing

Le credential stuffing est l'une des attaques les plus automatisées et les plus efficaces : des attaquants prennent des listes de couples email/mot de passe issus de fuites de données et les testent automatiquement sur des centaines de services. Si vous utilisez le même mot de passe sur plusieurs sites, la compromission d'un service expose tous les autres. Des outils automatisés testent des millions de combinaisons par heure sur les interfaces de connexion des services populaires.

La protection est simple en principe, difficile à maintenir sans outil : un mot de passe unique pour chaque service. Sans gestionnaire de mots de passe, c'est irréaliste pour un humain qui utilise des dizaines de services. Avec un gestionnaire, c'est automatique — le gestionnaire génère et stocke un mot de passe aléatoire de 20 caractères pour chaque service, et l'utilisateur n'a qu'à retenir son mot de passe maître.

Que faire si vos données ont été compromises

Have I Been Pwned (haveibeenpwned.com) agrège les données de fuites publiques et permet de vérifier si votre adresse email figure dans une base compromise. Le service ne stocke pas les mots de passe — seulement les emails et métadonnées associées. Si votre email apparaît dans une fuite, le minimum est de changer le mot de passe du service compromis et de tous les services où le même mot de passe était utilisé.

Les gestionnaires de mots de passe modernes (Bitwarden, 1Password) incluent une fonction de surveillance des fuites qui alerte automatiquement quand un credential stocké apparaît dans une base compromise. C'est une protection proactive qui automatise la veille que peu d'utilisateurs effectuent manuellement. Voir aussi la page sur les permissions des applications pour comprendre comment les données peuvent être compromises indépendamment des mots de passe.