Formation payante

Cette formation est protégée. Veuillez saisir le mot de passe reçu lors de votre achat.

Mot de passe incorrect.

NovaSec

Formation cybersécurité pour TPE/PME

Les mots de passe sécurisés

29 €

Version 1.0 — 2026 — ~15 pages

Sommaire

Pourquoi les mots de passe sont importants

Le mot de passe est la clé qui protège l'accès à vos comptes numériques. En 2026, l'utilisateur moyen possède plus de 150 comptes en ligne (email, banque, réseaux sociaux, SaaS, administration, etc.). Pourtant, la grande majorité des gens utilisent le même mot de passe pour tout, ou des mots de passe trop faibles.

C'est le point d'entrée n°1 des pirates. Si votre mot de passe est volé ou forcé, c'est potentiellement toute votre vie numérique qui est compromise.

Chiffres clés :

Comment les pirates cassent vos mots de passe

1. La force brute

Le pirate essaie toutes les combinaisons possibles, de "aaaa" à "zzzz", en passant par toutes les variations de chiffres et symboles. La vitesse dépend de la puissance de calcul. Avec un bon GPU, un pirate peut tester 10 à 15 milliards de combinaisons par seconde.

Un mot de passe de 8 caractères minuscules (a-z) = 26⁸ = 208 milliards de possibilités. À 10 milliards/s, il lui faut ~20 secondes.

2. L'attaque par dictionnaire

Au lieu de tout essayer, le pirate utilise une liste des mots de passe les plus courants. Le fichier "rockyou.txt" contient 14 millions de mots de passe réels. 90 % des gens utilisent un mot de passe présent dans ce fichier.

3. Les fuites de données (breaches)

Quand un site se fait pirater, les mots de passe fuitent. Si vous utilisez le même mot de passe partout, un pirate peut prendre le mot de passe d'un petit forum et l'essayer sur votre email professionnel (attaque par credential stuffing).

4. L'ingénierie sociale

Le pirate vous appelle ou vous envoie un message en se faisant passer pour un technicien, un collègue ou un support technique pour vous soutirer votre mot de passe. "Bonjour, c'est la DSI, on fait une maintenance, donnez-moi votre mot de passe."

5. Le keylogging (enregistrement de frappe)

Un logiciel espion installé sur votre ordinateur enregistre tout ce que vous tapez, y compris vos mots de passe.

6. Le sniffing (interception réseau)

Sur un WiFi public non sécurisé, le pirate peut intercepter les données échangées. Si le site n'est pas en HTTPS, votre mot de passe voyage en clair.

Les erreurs les plus courantes

ErreurExempleTemps pour casser
Mot de passe trop courtsoleil1Moins de 1 seconde
Mot de passe = nom/prénom/date naissanceenzo1990Moins de 1 seconde
Mot de passe = nom de l'entrepriseNovaSec2026~2 secondes
Mot de passe = "motdepasse" ou "123456"password123Instantané
Réutiliser le même mot de passe partoutMotDePasse Unique partout1 fuite = tout compromis
Noter le mot de passe sur un post-itPost-it collé à l'écranRisque physique
Utiliser un mot du dictionnairechocolat~0,1 seconde
Substitutions évidentes (o→0, a→@)ch0c0l@t~1 seconde

Les pires mots de passe de 2025 (Top 10)

Classement NordPass 2025 :

  1. 123456
  2. password
  3. 123456789
  4. 12345678
  5. 12345
  6. qwerty123
  7. abc123
  8. Motdepasse (ou "password" en français)
  9. 000000
  10. iloveyou

Règles pour un mot de passe solide

La règle des 3 critères essentiels

  1. Longueur : 12 caractères minimum (16 recommandé)
  2. Complexité : minuscules + majuscules + chiffres + symboles
  3. Unicité : un mot de passe différent pour chaque service

Exemple comparatif

Mot de passeLongueurEntropieTemps pour casserVerdict
soleil6Très faible< 1 seconde
Soleil2026!11Faible~2 heures
S0l3il*2026!12Moyenne~3 ans⚠️ Acceptable
J'aime*le*Soleil*du*26!26Très élevée+ de 1 million d'années
kX9#mP2$vB7&Lq5!rN120Maximale+ de 100 millions d'années

La méthode de la phrase secrète (passphrase)

Plutôt que de créer un mot de passe compliqué que vous allez oublier, créez une phrase secrète. C'est la méthode recommandée par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information).

Comment faire :

  1. Prenez 4 à 6 mots aléatoires qui n'ont pas de lien entre eux
  2. Ajoutez des majuscules, des chiffres ou des symboles
  3. Obtenez une phrase longue mais facile à retenir

Exemples de phrases secrètes

Pourquoi ça marche ? Chaque mot ajoute beaucoup d'entropie (variabilité). 4 mots parmi 50 000 mots français = 50 000⁴ possibilités, soit 6,25 × 10¹⁸ combinaisons. Même en connaissant la méthode, un pirate mettrait des milliers d'années.

Le gestionnaire de mots de passe

Vous ne pouvez pas retenir 150 mots de passe complexes différents. La solution : un gestionnaire de mots de passe (password manager).

Comment ça marche ?

  1. Vous créez un seul mot de passe maître (très fort, que vous seul connaissez)
  2. Le gestionnaire génère et stocke tous vos mots de passe dans un coffre-fort chiffré
  3. Il les remplit automatiquement dans les sites web et applications
  4. Vous n'avez plus besoin de retenir vos mots de passe, seulement le mot de passe maître

Quel gestionnaire choisir ?

LogicielGratuit ?Points forts
BitwardenOui (option payante 10 €/an)Open source, français, très sécurisé, toutes plateformes
KeePassOuiGratuit, fichiers locaux, très sécurisé
NordPassOui (version gratuite limitée)Simple, design moderne, fonctionne bien
1PasswordPayant (~3 €/mois)Excellent, idéal pour les familles/équipes
DashlanePayant (~5 €/mois)Gestion des mots de passe + VPN, complet
Recommandation NovaSec : Bitwarden pour les particuliers (gratuit, open source, fiable). KeePass pour les entreprises qui veulent garder le contrôle de leurs données (stockage local uniquement).

Double authentification (2FA)

La double authentification (2FA, two-factor authentication) ajoute une deuxième couche de sécurité à votre mot de passe. Même si un pirate vole votre mot de passe, il ne peut pas accéder à votre compte sans le deuxième facteur.

Les types de 2FA (du meilleur au moins bon)

TypeExempleSécuritéNote
Clé physique (FIDO/U2F)YubiKey, Google TitanMaximale✅ Recommandé
Application d'authentificationGoogle Authenticator, Authy, Microsoft AuthenticatorTrès élevée✅ Recommandé
SMSCode par textoMoyenne⚠️ Vulnérable au SIM swapping
EmailCode par emailFaible❌ Pas recommandé
Le SIM swapping : Le pirate contacte votre opérateur mobile, usurpe votre identité, et demande à ce que votre numéro soit transféré sur une nouvelle carte SIM (qu'il possède). Il reçoit alors vos SMS, y compris vos codes 2FA. Solution : utiliser une application d'authentification plutôt que les SMS.

Activer la 2FA partout où c'est possible :

Mots de passe en entreprise

Dans une TPE/PME, la gestion des mots de passe est encore plus critique car un seul compte compromis peut mettre toute l'entreprise en danger.

Bonnes pratiques pour l'entreprise

  1. Charte des mots de passe : établissez des règles claires (12 caractères min, pas de réutilisation, etc.)
  2. Gestionnaire d'équipe : utilisez Bitwarden Teams ou 1Password Business pour partager les mots de passe professionnels
  3. Politique de rotation : changez les mots de passe administrateurs tous les 6 mois (sauf si 2FA)
  4. Ne partagez jamais un mot de passe par email, SMS ou messagerie (Teams, WhatsApp)
  5. Comptes individuels : chaque employé doit avoir ses propres identifiants, pas un compte partagé
  6. Départ d'un employé : révoquez immédiatement tous ses accès
  7. SSO (Single Sign-On) : centralisez les accès via Microsoft 365 ou Google Workspace
  8. Audit régulier : vérifiez les mots de passe faibles dans l'entreprise

Cas pratique : le mot de passe partagé du réseau WiFi

Ne faites pas du mot de passe WiFi de l'entreprise le même que vos mots de passe administrateurs. Le mot de passe WiFi sera donné aux clients et aux visiteurs. Si c'est le même que votre email pro, un client malveillant ou un visiteur pourrait causer des dégâts. Utilisez un réseau invité séparé.

Checklist : évaluez vos mots de passe

Quiz : testez vos connaissances

  1. Quelle est la longueur minimale recommandée pour un mot de passe ?
    a) 8 caractères | b) 12 caractères | c) 16 caractères ✓ (16 recommandé, 12 strict minimum)
  2. Qu'est-ce qu'un gestionnaire de mots de passe ?
    a) Un logiciel qui retient vos mots de passe à votre place ✓ | b) Un antivirus | c) Un navigateur web
  3. Quelle est la meilleure méthode de 2FA ?
    a) SMS | b) Application d'authentification | c) Clé physique FIDO ✓
  4. Combien de temps faut-il pour casser "Soleil2026!" ?
    a) Instantané | b) ~2 heures ✓ | c) 100 ans
  5. Qu'est-ce que le "credential stuffing" ?
    a) Voler des fichiers sur un serveur | b) Essayer des mots de passe volés sur d'autres sites ✓ | c) Envoyer des spams
  6. Que faire si un site que vous utilisez se fait pirater ?
    a) Attendre | b) Changer immédiatement votre mot de passe sur ce site ✓ | c) Supprimer votre compte
  7. Quel gestionnaire de mots de passe NovaSec recommande-t-il ?
    a) Dashlane | b) Bitwarden ✓ | c) Le navigateur Chrome
  8. Qu'est-ce que le "SIM swapping" ?
    a) Changer d'opérateur | b) Voler votre numéro de téléphone pour recevoir vos SMS ✓ | c) Pirater votre téléphone
  9. Un mot de passe de 8 caractères est :
    a) Très sûr | b) Acceptable | c) Trop court, c'est insuffisant ✓
  10. Quel pourcentage des violations de données est lié aux mots de passe ?
    a) 30 % | b) 51 % | c) 81 % ✓

Les outils recommandés

OutilUtilitéURL
BitwardenGestionnaire de mots de passebitwarden.com
Have I Been PwnedVérifier si vos comptes ont fuitéhaveibeenpwned.com
Google AuthenticatorApplication 2FAGoogle Play / App Store
KeePassGestionnaire local open sourcekeepass.info
Password Strength TestTester la force d'un mot de passebitwarden.com/password-strength
En résumé : long (16+), unique (jamais réutilisé), stocké dans un gestionnaire, protégé par 2FA. C'est la règle d'or des mots de passe sécurisés.

Formation NovaSec – Tous droits réservés – 2026 – Version 1.0