Le mot de passe, première barrière des comptes
Malgré l’apparition de nouvelles méthodes d’authentification, le mot de passe reste le moyen le plus répandu pour protéger un compte. Il constitue souvent la seule barrière entre un attaquant et vos données. Pourtant, la façon dont on choisit et gère ses mots de passe est encore largement façonnée par des conseils anciens, parfois contre-productifs. Comprendre ce qui rend réellement un mot de passe résistant permet de se protéger bien plus efficacement, sans s’imposer de contraintes inutiles.
La longueur prime sur la complexité
Pendant des années, on a recommandé d’ajouter des majuscules, des chiffres et des caractères spéciaux pour renforcer un mot de passe. Cette approche part d’une bonne intention, mais elle néglige un facteur bien plus déterminant : la longueur. La raison tient à la manière dont les attaquants procèdent.
Lorsqu’un attaquant tente de deviner un mot de passe par force brute, il essaie un grand nombre de combinaisons. Chaque caractère supplémentaire multiplie le nombre de possibilités à explorer, et cette croissance est exponentielle. Un mot de passe long, même composé uniquement de mots simples, offre un nombre de combinaisons astronomique, hors de portée d’une attaque par force brute. À l’inverse, un mot de passe court bourré de symboles reste vulnérable, car le faible nombre de caractères limite l’espace à parcourir.
Le problème des règles de complexité est qu’elles poussent à créer des mots de passe difficiles à mémoriser pour un humain, mais pas particulièrement difficiles à deviner pour une machine. Une astuce courante comme remplacer un “a” par “@” ou un “e” par “3” est parfaitement connue des outils d’attaque, qui l’intègrent dans leurs essais. Le gain réel est donc faible.
Une approche plus solide consiste à utiliser une phrase de passe : une suite de plusieurs mots, formant un ensemble long et facile à retenir, mais imprévisible. Quatre ou cinq mots choisis sans logique apparente créent un mot de passe à la fois mémorisable et extrêmement résistant. Il faut toutefois éviter les citations célèbres ou les expressions toutes faites, que les attaquants intègrent dans leurs dictionnaires.
Le danger de la réutilisation
Le choix d’un mot de passe robuste perd tout son intérêt s’il est utilisé sur plusieurs sites. La raison est directement liée aux fuites de données. Lorsqu’un service est compromis, les couples e-mail et mot de passe qui en sortent sont essayés automatiquement sur de nombreux autres services. Cette technique, appelée bourrage d’identifiants, ne fonctionne que parce que tant de personnes réutilisent le même mot de passe partout.
Un seul mot de passe unique par compte suffit à neutraliser entièrement cette menace. Même si un service est touché, l’exposition se limite à ce service précis. C’est sans doute la règle la plus importante en matière de mots de passe, plus encore que le choix d’une combinaison complexe.
Comment les sites stockent les mots de passe
Un service sérieux ne conserve jamais votre mot de passe tel quel. S’il le faisait, une fuite de sa base de données livrerait directement tous les mots de passe en clair. À la place, il applique une fonction de hachage, qui transforme le mot de passe en une empreinte de longueur fixe, impossible à inverser. Lorsque vous vous connectez, le service hache le mot de passe que vous saisissez et compare l’empreinte obtenue à celle qu’il a stockée. Si elles coïncident, l’accès est accordé, sans que le mot de passe d’origine n’ait jamais été conservé.
Le hachage seul ne suffit cependant pas. Deux personnes qui choisissent le même mot de passe obtiendraient la même empreinte, ce qui permettrait à un attaquant d’identifier les mots de passe communs et d’utiliser des tables précalculées pour les retrouver. Pour éviter cela, on ajoute un sel : une valeur aléatoire unique, propre à chaque utilisateur, mélangée au mot de passe avant le hachage. Grâce au sel, deux mots de passe identiques produisent des empreintes différentes, et les tables précalculées deviennent inutilisables.
Les méthodes modernes vont plus loin en utilisant des fonctions de hachage volontairement lentes et coûteuses en calcul, spécialement conçues pour les mots de passe. Cette lenteur, imperceptible lors d’une connexion légitime, ralentit énormément un attaquant qui tenterait des milliards d’essais. Pour comprendre en détail le fonctionnement du hachage, de ses propriétés et du rôle du sel, la section sur la cryptographie et les fonctions de hachage explique ces mécanismes en profondeur.
Le point essentiel pour l’utilisateur est le suivant : même quand un site protège correctement les mots de passe par hachage et sel, un mot de passe court ou évident reste vulnérable. Un attaquant qui récupère la base hachée peut tester en priorité les mots de passe les plus courants. La protection côté serveur ne dispense donc jamais de choisir un mot de passe solide.
Le gestionnaire de mots de passe
Appliquer la règle d’un mot de passe unique et long pour chaque compte semble impossible à tenir de mémoire. C’est précisément le rôle d’un gestionnaire de mots de passe. Cet outil génère des mots de passe longs et aléatoires, les stocke de façon chiffrée et les remplit automatiquement au moment de la connexion. Vous n’avez plus qu’à retenir un seul mot de passe principal, celui qui protège le gestionnaire lui-même.
Cette approche résout plusieurs problèmes à la fois. Les mots de passe générés sont aussi longs et imprévisibles que possible, sans effort de mémorisation. Chaque compte reçoit un mot de passe différent, ce qui neutralise le bourrage d’identifiants. Le remplissage automatique apporte enfin une protection inattendue contre l’hameçonnage : un gestionnaire ne propose un mot de passe que sur le site exact auquel il est associé, et reste muet sur une fausse page imitant ce site, ce qui révèle souvent la supercherie.
Le mot de passe principal du gestionnaire mérite un soin particulier, puisqu’il protège tous les autres. Une phrase de passe longue, unique, mémorisée et jamais réutilisée ailleurs constitue le meilleur choix. Il est également conseillé de protéger l’accès au gestionnaire par une authentification à deux facteurs.
L’authentification à deux facteurs
Aussi solide soit-il, un mot de passe peut toujours être volé, par une fuite, par hameçonnage ou par un logiciel malveillant. L’authentification à deux facteurs ajoute une seconde vérification, indépendante du mot de passe. Même si un attaquant connaît votre mot de passe, il ne peut pas se connecter sans ce second élément.
Plusieurs formes existent, avec des niveaux de sécurité différents. Les codes envoyés par message texte sont les plus répandus, mais aussi les plus faibles, car ils peuvent être interceptés ou détournés. Les applications qui génèrent des codes temporaires sur votre appareil offrent une protection nettement supérieure. Les clés de sécurité physiques, qui se branchent ou s’approchent de l’appareil, représentent l’option la plus résistante, notamment parce qu’elles bloquent efficacement l’hameçonnage : la clé vérifie l’identité réelle du site avant de répondre.
Activer l’authentification à deux facteurs sur les comptes les plus sensibles, en priorité la boîte e-mail et les services financiers, constitue l’une des mesures les plus rentables en matière de sécurité. La boîte e-mail mérite une attention particulière, car elle sert souvent à réinitialiser les mots de passe des autres comptes : la protéger revient à protéger tout le reste.
Des habitudes simples et durables
La sécurité des mots de passe ne repose pas sur des règles compliquées, mais sur quelques principes cohérents. Privilégier la longueur plutôt que les symboles, n’utiliser chaque mot de passe que sur un seul service, confier la gestion à un outil dédié et activer une seconde vérification sur les comptes importants suffisent à se placer très au-dessus de la moyenne en matière de protection. Ces habitudes, une fois installées, demandent peu d’efforts au quotidien et offrent une défense durable contre les attaques les plus courantes.
