{"id":35,"date":"2026-06-10T12:34:30","date_gmt":"2026-06-10T12:34:30","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/10\/securite-des-mots-de-passe\/"},"modified":"2026-06-10T13:35:44","modified_gmt":"2026-06-10T13:35:44","slug":"securite-des-mots-de-passe","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/security\/securite-des-mots-de-passe\/","title":{"rendered":"S\u00e9curit\u00e9 des mots de passe : la longueur, le hachage et les gestionnaires"},"content":{"rendered":"

Le mot de passe, premi\u00e8re barri\u00e8re des comptes<\/h2>\n

Malgr\u00e9 l’apparition de nouvelles m\u00e9thodes d’authentification, le mot de passe reste le moyen le plus r\u00e9pandu pour prot\u00e9ger un compte. Il constitue souvent la seule barri\u00e8re entre un attaquant et vos donn\u00e9es. Pourtant, la fa\u00e7on dont on choisit et g\u00e8re ses mots de passe est encore largement fa\u00e7onn\u00e9e par des conseils anciens, parfois contre-productifs. Comprendre ce qui rend r\u00e9ellement un mot de passe r\u00e9sistant permet de se prot\u00e9ger bien plus efficacement, sans s’imposer de contraintes inutiles.<\/p>\n

La longueur prime sur la complexit\u00e9<\/h2>\n

Pendant des ann\u00e9es, on a recommand\u00e9 d’ajouter des majuscules, des chiffres et des caract\u00e8res sp\u00e9ciaux pour renforcer un mot de passe. Cette approche part d’une bonne intention, mais elle n\u00e9glige un facteur bien plus d\u00e9terminant : la longueur. La raison tient \u00e0 la mani\u00e8re dont les attaquants proc\u00e8dent.<\/p>\n

Lorsqu’un attaquant tente de deviner un mot de passe par force brute, il essaie un grand nombre de combinaisons. Chaque caract\u00e8re suppl\u00e9mentaire multiplie le nombre de possibilit\u00e9s \u00e0 explorer, et cette croissance est exponentielle. Un mot de passe long, m\u00eame compos\u00e9 uniquement de mots simples, offre un nombre de combinaisons astronomique, hors de port\u00e9e d’une attaque par force brute. \u00c0 l’inverse, un mot de passe court bourr\u00e9 de symboles reste vuln\u00e9rable, car le faible nombre de caract\u00e8res limite l’espace \u00e0 parcourir.<\/p>\n

Le probl\u00e8me des r\u00e8gles de complexit\u00e9 est qu’elles poussent \u00e0 cr\u00e9er des mots de passe difficiles \u00e0 m\u00e9moriser pour un humain, mais pas particuli\u00e8rement difficiles \u00e0 deviner pour une machine. Une astuce courante comme remplacer un “a” par “@” ou un “e” par “3” est parfaitement connue des outils d’attaque, qui l’int\u00e8grent dans leurs essais. Le gain r\u00e9el est donc faible.<\/p>\n

Une approche plus solide consiste \u00e0 utiliser une phrase de passe : une suite de plusieurs mots, formant un ensemble long et facile \u00e0 retenir, mais impr\u00e9visible. Quatre ou cinq mots choisis sans logique apparente cr\u00e9ent un mot de passe \u00e0 la fois m\u00e9morisable et extr\u00eamement r\u00e9sistant. Il faut toutefois \u00e9viter les citations c\u00e9l\u00e8bres ou les expressions toutes faites, que les attaquants int\u00e8grent dans leurs dictionnaires.<\/p>\n

Le danger de la r\u00e9utilisation<\/h2>\n

Le choix d’un mot de passe robuste perd tout son int\u00e9r\u00eat s’il est utilis\u00e9 sur plusieurs sites. La raison est directement li\u00e9e aux fuites de donn\u00e9es. Lorsqu’un service est compromis, les couples e-mail et mot de passe qui en sortent sont essay\u00e9s automatiquement sur de nombreux autres services. Cette technique, appel\u00e9e bourrage d’identifiants, ne fonctionne que parce que tant de personnes r\u00e9utilisent le m\u00eame mot de passe partout.<\/p>\n

Un seul mot de passe unique par compte suffit \u00e0 neutraliser enti\u00e8rement cette menace. M\u00eame si un service est touch\u00e9, l’exposition se limite \u00e0 ce service pr\u00e9cis. C’est sans doute la r\u00e8gle la plus importante en mati\u00e8re de mots de passe, plus encore que le choix d’une combinaison complexe.<\/p>\n

Comment les sites stockent les mots de passe<\/h2>\n

Un service s\u00e9rieux ne conserve jamais votre mot de passe tel quel. S’il le faisait, une fuite de sa base de donn\u00e9es livrerait directement tous les mots de passe en clair. \u00c0 la place, il applique une fonction de hachage, qui transforme le mot de passe en une empreinte de longueur fixe, impossible \u00e0 inverser. Lorsque vous vous connectez, le service hache le mot de passe que vous saisissez et compare l’empreinte obtenue \u00e0 celle qu’il a stock\u00e9e. Si elles co\u00efncident, l’acc\u00e8s est accord\u00e9, sans que le mot de passe d’origine n’ait jamais \u00e9t\u00e9 conserv\u00e9.<\/p>\n

Le hachage seul ne suffit cependant pas. Deux personnes qui choisissent le m\u00eame mot de passe obtiendraient la m\u00eame empreinte, ce qui permettrait \u00e0 un attaquant d’identifier les mots de passe communs et d’utiliser des tables pr\u00e9calcul\u00e9es pour les retrouver. Pour \u00e9viter cela, on ajoute un sel : une valeur al\u00e9atoire unique, propre \u00e0 chaque utilisateur, m\u00e9lang\u00e9e au mot de passe avant le hachage. Gr\u00e2ce au sel, deux mots de passe identiques produisent des empreintes diff\u00e9rentes, et les tables pr\u00e9calcul\u00e9es deviennent inutilisables.<\/p>\n

Les m\u00e9thodes modernes vont plus loin en utilisant des fonctions de hachage volontairement lentes et co\u00fbteuses en calcul, sp\u00e9cialement con\u00e7ues pour les mots de passe. Cette lenteur, imperceptible lors d’une connexion l\u00e9gitime, ralentit \u00e9norm\u00e9ment un attaquant qui tenterait des milliards d’essais. Pour comprendre en d\u00e9tail le fonctionnement du hachage, de ses propri\u00e9t\u00e9s et du r\u00f4le du sel, la section sur la cryptographie et les fonctions de hachage<\/a> explique ces m\u00e9canismes en profondeur.<\/p>\n

Le point essentiel pour l’utilisateur est le suivant : m\u00eame quand un site prot\u00e8ge correctement les mots de passe par hachage et sel, un mot de passe court ou \u00e9vident reste vuln\u00e9rable. Un attaquant qui r\u00e9cup\u00e8re la base hach\u00e9e peut tester en priorit\u00e9 les mots de passe les plus courants. La protection c\u00f4t\u00e9 serveur ne dispense donc jamais de choisir un mot de passe solide.<\/p>\n

Le gestionnaire de mots de passe<\/h2>\n

Appliquer la r\u00e8gle d’un mot de passe unique et long pour chaque compte semble impossible \u00e0 tenir de m\u00e9moire. C’est pr\u00e9cis\u00e9ment le r\u00f4le d’un gestionnaire de mots de passe. Cet outil g\u00e9n\u00e8re des mots de passe longs et al\u00e9atoires, les stocke de fa\u00e7on chiffr\u00e9e et les remplit automatiquement au moment de la connexion. Vous n’avez plus qu’\u00e0 retenir un seul mot de passe principal, celui qui prot\u00e8ge le gestionnaire lui-m\u00eame.<\/p>\n

Cette approche r\u00e9sout plusieurs probl\u00e8mes \u00e0 la fois. Les mots de passe g\u00e9n\u00e9r\u00e9s sont aussi longs et impr\u00e9visibles que possible, sans effort de m\u00e9morisation. Chaque compte re\u00e7oit un mot de passe diff\u00e9rent, ce qui neutralise le bourrage d’identifiants. Le remplissage automatique apporte enfin une protection inattendue contre l’hame\u00e7onnage : un gestionnaire ne propose un mot de passe que sur le site exact auquel il est associ\u00e9, et reste muet sur une fausse page imitant ce site, ce qui r\u00e9v\u00e8le souvent la supercherie.<\/p>\n

Le mot de passe principal du gestionnaire m\u00e9rite un soin particulier, puisqu’il prot\u00e8ge tous les autres. Une phrase de passe longue, unique, m\u00e9moris\u00e9e et jamais r\u00e9utilis\u00e9e ailleurs constitue le meilleur choix. Il est \u00e9galement conseill\u00e9 de prot\u00e9ger l’acc\u00e8s au gestionnaire par une authentification \u00e0 deux facteurs.<\/p>\n

L’authentification \u00e0 deux facteurs<\/h2>\n

Aussi solide soit-il, un mot de passe peut toujours \u00eatre vol\u00e9, par une fuite, par hame\u00e7onnage ou par un logiciel malveillant. L’authentification \u00e0 deux facteurs ajoute une seconde v\u00e9rification, ind\u00e9pendante du mot de passe. M\u00eame si un attaquant conna\u00eet votre mot de passe, il ne peut pas se connecter sans ce second \u00e9l\u00e9ment.<\/p>\n

Plusieurs formes existent, avec des niveaux de s\u00e9curit\u00e9 diff\u00e9rents. Les codes envoy\u00e9s par message texte sont les plus r\u00e9pandus, mais aussi les plus faibles, car ils peuvent \u00eatre intercept\u00e9s ou d\u00e9tourn\u00e9s. Les applications qui g\u00e9n\u00e8rent des codes temporaires sur votre appareil offrent une protection nettement sup\u00e9rieure. Les cl\u00e9s de s\u00e9curit\u00e9 physiques, qui se branchent ou s’approchent de l’appareil, repr\u00e9sentent l’option la plus r\u00e9sistante, notamment parce qu’elles bloquent efficacement l’hame\u00e7onnage : la cl\u00e9 v\u00e9rifie l’identit\u00e9 r\u00e9elle du site avant de r\u00e9pondre.<\/p>\n

Activer l’authentification \u00e0 deux facteurs sur les comptes les plus sensibles, en priorit\u00e9 la bo\u00eete e-mail et les services financiers, constitue l’une des mesures les plus rentables en mati\u00e8re de s\u00e9curit\u00e9. La bo\u00eete e-mail m\u00e9rite une attention particuli\u00e8re, car elle sert souvent \u00e0 r\u00e9initialiser les mots de passe des autres comptes : la prot\u00e9ger revient \u00e0 prot\u00e9ger tout le reste.<\/p>\n

Des habitudes simples et durables<\/h2>\n

La s\u00e9curit\u00e9 des mots de passe ne repose pas sur des r\u00e8gles compliqu\u00e9es, mais sur quelques principes coh\u00e9rents. Privil\u00e9gier la longueur plut\u00f4t que les symboles, n’utiliser chaque mot de passe que sur un seul service, confier la gestion \u00e0 un outil d\u00e9di\u00e9 et activer une seconde v\u00e9rification sur les comptes importants suffisent \u00e0 se placer tr\u00e8s au-dessus de la moyenne en mati\u00e8re de protection. Ces habitudes, une fois install\u00e9es, demandent peu d’efforts au quotidien et offrent une d\u00e9fense durable contre les attaques les plus courantes.<\/p>\n

\n

Sources<\/h2>\n