Sécurité des mots de passe : pourquoi la plupart sont faibles et comment en créer de solides

Si vous utilisez un mot de passe comme password123, qwerty, ou le nom de votre animal suivi d'une année de naissance, vous n'êtes pas seul — mais vous courez un risque sérieux. Une étude de 2023 menée par NordPass a révélé que le mot de passe le plus courant au monde reste « 123456 », utilisé par plus de 4,5 millions de personnes. Selon Google, 65 % des gens réutilisent le même mot de passe sur plusieurs sites. C'est la plus grande erreur de sécurité que vous puissiez commettre en ligne.

Ce guide décompose précisément ce qui rend un mot de passe faible ou solide, comment les attaquants les cassent, et comment vous pouvez vous protéger — à l'aide d'outils gratuits qui s'exécutent entièrement dans votre navigateur, sans qu'aucune donnée ne soit envoyée à un serveur.

Les mots de passe les plus courants — le vôtre figure-t-il sur cette liste ?

Chaque année, les chercheurs en sécurité analysent des milliards d'identifiants divulgués lors de fuites de données. Les résultats sont constamment alarmants. Voici les pires contrevenants qui apparaissent dans pratiquement toutes les bases de données de fuites :

• 123456 / 12345678 / 123456789
• password / password1 / Password123
• qwerty / qwerty123 / qwertyuiop
• iloveyou / letmein / welcome
• admin / root / user / login
• abc123 / 111111 / 000000
• monkey / dragon / master / sunshine

Ce qui est particulièrement dangereux, c'est que beaucoup de gens croient être malins en remplaçant des lettres par des chiffres — en écrivant p@ssw0rd au lieu de password. Les attaquants connaissent aussi cette astuce. Les outils de craquage modernes incluent des « règles de transformation » qui appliquent automatiquement ces substitutions à chaque mot de leur dictionnaire.

Qu'est-ce qui rend un mot de passe faible ?

La faiblesse d'un mot de passe vient de sa prévisibilité. Un mot de passe est faible lorsqu'un attaquant peut le deviner plus vite qu'en essayant toutes les combinaisons possibles. Les principaux coupables sont :

1. Une longueur trop courte

La longueur est le facteur le plus important de la robustesse d'un mot de passe. Un mot de passe de 6 caractères utilisant uniquement des lettres minuscules n'a que 308 millions de combinaisons possibles — un GPU moderne peut les épuiser en moins d'une seconde. Un mot de passe de 8 caractères avec une casse mixte et des chiffres a 218 billions de combinaisons, ce qui semble impressionnant, mais les machines de craquage modernes fonctionnant à des milliards d'essais par seconde peuvent encore le casser en quelques minutes.

2. Les mots du dictionnaire

Tout mot réel, dans n'importe quelle langue, est immédiatement vulnérable à une attaque par dictionnaire. Cela inclut les mots avec des substitutions évidentes (3 pour e, 0 pour o, @pour a) et les mots avec des chiffres ajoutés à la fin (monkey1, dragon99). Les attaquants disposent de dictionnaires contenant des centaines de millions de ces variations pré-calculées.

3. Les informations personnelles

Les noms, dates d'anniversaire, anniversaires de mariage, noms d'animaux et équipes sportives préférées sont des ingrédients de mot de passe extrêmement courants. Si un attaquant sait quoi que ce soit sur vous — rien qu'à partir de vos profils de réseaux sociaux — il peut créer une liste de mots ciblée et réduire considérablement le temps nécessaire pour casser votre mot de passe.

4. Les motifs et les suites de touches

Les séquences comme qwerty, asdfgh, 1qaz2wsx ou zxcvbn sont des motifs de clavier que les craqueurs testent dans les premières secondes. Elles ne nécessitent aucune intelligence supplémentaire pour être devinées — juste la connaissance d'une disposition de clavier.

Comment fonctionne réellement le craquage de mots de passe

Comprendre comment les attaquants cassent les mots de passe vous aide à comprendre pourquoi certaines pratiques vous protègent réellement et pourquoi d'autres ne font que donner un sentiment de sécurité.

Les attaques par force brute

Une attaque par force brute essaie chaque combinaison de caractères possible jusqu'à trouver la bonne. Pour les mots de passe courts, c'est trivialement rapide. Pour les plus longs, le temps croît de façon exponentielle. Un mot de passe de 12 caractères utilisant majuscules, minuscules, chiffres et symboles a environ 19 quadrillions de combinaisons possibles — à un milliard d'essais par seconde, il faudrait plus de 600 ans pour les épuiser entièrement. C'est toute la puissance de la longueur.

Les attaques par dictionnaire

Plutôt que d'essayer chaque combinaison, les attaques par dictionnaire utilisent des listes préétablies de mots de passe connus, de mots courants et d'identifiants divulgués lors de fuites précédentes. La seule liste de mots RockYou — divulguée en 2009 — contient 14 millions de mots de passe et reste aujourd'hui le point de départ de la plupart des sessions de craquage. Si votre mot de passe a déjà été utilisé par quelqu'un et est apparu dans une fuite, il se trouve quelque part dans un dictionnaire.

Les tables arc-en-ciel

Lorsque les sites web stockent des mots de passe, ils devraient les stocker sous forme d'empreintes cryptographiques — et non le mot de passe réel. Les tables arc-en-ciel sont des tables de correspondance pré-calculées qui font correspondre des valeurs de hachage aux mots de passe d'origine. Si un site stocke des mots de passe sans « saler » les empreintes (en ajoutant une valeur aléatoire avant le hachage), une attaque par table arc-en-ciel peut récupérer des millions de mots de passe en quelques secondes. C'est pour cela que les fuites de données sont si dévastatrices.

L'entropie des mots de passe : pourquoi la longueur gagne à tous les coups

L'entropie est une mesure de l'imprévisibilité, exprimée en bits. Plus l'entropie est élevée, plus il faut de temps pour casser un mot de passe par force brute. Voici comment cela fonctionne en pratique :

• Un mot de passe utilisant uniquement des lettres minuscules (26 caractères) ajoute environ 4,7 bits d'entropie par caractère.
• L'ajout des majuscules double l'ensemble à 52 caractères — 5,7 bits par caractère.
• L'ajout des chiffres (62 caractères) — 5,95 bits par caractère.
• L'ajout des symboles (95 caractères ASCII imprimables) — 6,57 bits par caractère.

Mais l'effet multiplicateur de la longueur est bien plus puissant que l'ajout de n'importe quel type de caractère. Un mot de passe de 12 caractères entièrement aléatoire issu de l'ensemble ASCII imprimable complet a environ 79 bits d'entropie. À 16 caractères, cela devient 105 bits — pratiquement impossible à casser avec toute technologie prévisible.

Les trois types de mots de passe que les gens utilisent

Les stratégies de mots de passe de la plupart des gens entrent dans l'une de trois catégories — chacune avec ses propres compromis :

Type 1 : facile à retenir, facile à casser

C'est la catégorie fluffy2009! — un nom d'animal, une année et un signe de ponctuation. Vous pouvez le retenir sans effort. Un attaquant peut le casser en moins d'une heure avec une liste de mots correcte et des règles de transformation. Ces mots de passe n'offrent presque aucune protection réelle.

Type 2 : complexe mais impossible à retenir

Certaines personnes tentent de créer des mots de passe vraiment complexes en pianotant sur leur clavier — xK3#mQ9!pL — mais découvrent ensuite qu'elles ne peuvent pas le retenir. Cela les amène à l'écrire sur un post-it, à le stocker dans un fichier texte non chiffré, ou simplement à le réinitialiser sans arrêt. Le gain de sécurité est perdu à cause d'un mauvais stockage.

Type 3 : solide et correctement stocké

C'est la seule approche qui fonctionne réellement à grande échelle. Générez un mot de passe long et entièrement aléatoire et stockez-le dans un gestionnaire de mots de passe. Vous n'avez besoin de retenir qu'un seul mot de passe maître solide. Les autres sont générés, stockés et remplis automatiquement pour vous. C'est ainsi que les professionnels de la sécurité gèrent des centaines de comptes.

Comparaison visuelle de la robustesse

Voici un aperçu côte à côte de la variation spectaculaire de la robustesse des mots de passe :

La différence entre le premier et le troisième mot de passe n'est pas seulement progressive — c'est la différence entre aucune protection et une sécurité pratiquement inviolable. Et vous n'avez pas besoin de retenir v8K#mX2qLn&4jR7— votre gestionnaire de mots de passe le fait pour vous.

Vérifiez instantanément la robustesse de votre mot de passe actuel

Avant de changer quoi que ce soit, il vaut la peine de comprendre exactement à quel point vos mots de passe actuels sont solides. BrowseryTools propose un vérificateur de robustesse de mot de passe gratuit et privé qui analyse votre mot de passe localement — les caractères que vous saisissez ne quittent jamais votre navigateur.

Le vérificateur vous donne un score clair avec une explication de ce qui est faible et de ce qu'il faut améliorer. C'est le moyen le plus rapide d'obtenir un audit honnête des mots de passe que vous utilisez déjà.

Générez des mots de passe solides en un clic

Savoir à quoi ressemble un mot de passe solide et en créer un réellement sont deux problèmes différents. Le cerveau humain est notoirement mauvais pour générer du hasard — nous retombons toujours sur des motifs, des mots familiers et des structures prévisibles. La solution est de laisser une machine générer le hasard pour vous.

Le Générateur de mots de passe BrowseryTools crée des mots de passe cryptographiquement aléatoires en utilisant le générateur de nombres aléatoires sécurisé intégré à votre navigateur. Vous pouvez personnaliser :

• La longueur du mot de passe (jusqu'à 128 caractères)
• Les jeux de caractères à inclure : majuscules, minuscules, chiffres, symboles
• L'exclusion des caractères ambigus (comme 0, O, l, 1) pour une transcription manuelle plus facile
• Le nombre de mots de passe à générer en une fois

Pourquoi vous avez besoin d'un gestionnaire de mots de passe

La principale objection à l'utilisation de mots de passe solides est la mémorisation. « Je ne peux pas retenir 30 chaînes aléatoires différentes de 20 caractères. » Vous avez raison — et vous ne devriez pas avoir à le faire. C'est exactement à cela que servent les gestionnaires de mots de passe.

Un gestionnaire de mots de passe est un coffre-fort chiffré qui stocke tous vos mots de passe. Vous le déverrouillez avec un seul mot de passe maître solide (le seul que vous avez besoin de mémoriser), et il gère tout le reste :

• Stocke un nombre illimité de mots de passe en toute sécurité avec un chiffrement de bout en bout
• Remplit automatiquement les formulaires de connexion dans votre navigateur
• Génère de nouveaux mots de passe solides lorsque vous créez des comptes
• Vous alerte lorsqu'un mot de passe a été exposé dans une fuite connue
• Se synchronise en toute sécurité sur tous vos appareils

Les options populaires incluent Bitwarden (open source et gratuit), 1Password et KeePass (entièrement local). L'important est d'en utiliser un — l'amélioration de la sécurité par rapport à l'absence de gestionnaire est énorme.

L'authentification à deux facteurs : pourquoi les mots de passe seuls ne suffisent pas

Même le mot de passe le plus solide présente une vulnérabilité fondamentale : il peut être volé sans être cassé. Les attaques par hameçonnage, les enregistreurs de frappe, les attaques de l'homme du milieu et les fuites de données peuvent exposer votre mot de passe sans aucune force brute. Une fois qu'un attaquant a votre mot de passe, la longueur et la complexité n'ont plus d'importance.

L'authentification à deux facteurs (2FA) ajoute une seconde couche qui vous protège même si votre mot de passe est compromis. Les formes courantes incluent :

• Les applications TOTP (Google Authenticator, Authy) : génèrent un code à 6 chiffres qui change toutes les 30 secondes. Même avec votre mot de passe, un attaquant ne peut pas se connecter sans le code actuel.
• Les clés matérielles (YubiKey) : un dispositif physique que vous branchez ou approchez. Résistant à l'hameçonnage car la clé vérifie le domaine du site avant l'authentification.
• Les codes SMS : mieux que rien, mais vulnérables aux attaques par échange de carte SIM. Utilisez une application d'authentification à la place lorsque c'est possible.

Activez la 2FA sur chaque compte qui la prend en charge — en particulier la messagerie, la banque, le stockage cloud et les réseaux sociaux. Un mot de passe solide associé à la 2FA rend l'accès non autorisé extrêmement difficile, même pour des attaquants disposant de ressources importantes.

Une liste de contrôle complète de la sécurité des mots de passe

• Utilisez un minimum de 16 caractères pour chaque mot de passe
• Utilisez un mot de passe différent sur chaque site et service
• N'utilisez jamais de mots du dictionnaire, de noms ou d'informations personnelles
• Utilisez un gestionnaire de mots de passe pour générer et stocker tous vos mots de passe
• Activez l'authentification à deux facteurs partout où elle est disponible
• Vérifiez vos mots de passe existants avec un vérificateur de robustesse dès aujourd'hui
• Vérifiez si votre adresse e-mail est apparue dans des fuites connues (haveibeenpwned.com)
• Ne partagez jamais de mots de passe par e-mail, SMS ou applications de messagerie

Commencez dès maintenant — cela prend 2 minutes

Vous n'avez pas besoin de tout revoir d'un coup. Commencez par vos comptes les plus critiques : la messagerie, la banque et votre principal réseau social. Remplacez d'abord ces mots de passe à l'aide du Générateur de mots de passe BrowseryTools, puis vérifiez la robustesse de ce que vous avez déjà avec le Vérificateur de robustesse de mot de passe.

Les deux outils s'exécutent entièrement dans votre navigateur. Vos mots de passe ne sont jamais transmis, journalisés ni stockés où que ce soit en dehors de votre propre appareil. C'est la promesse de BrowseryTools — des outils puissants qui respectent réellement votre confidentialité.