NovaSec
Formation cybersécurité pour TPE/PME
Les mots de passe sécurisés
29 €
Version 1.0 — 2026 — ~15 pages
Sommaire
- Pourquoi les mots de passe sont importants
- Comment les pirates cassent vos mots de passe
- Les erreurs les plus courantes
- Les pires mots de passe de 2025
- Règles pour un mot de passe solide
- La méthode de la phrase secrète
- Le gestionnaire de mots de passe
- Double authentification (2FA)
- Mots de passe en entreprise
- Checklist et quiz
Pourquoi les mots de passe sont importants
Le mot de passe est la clé qui protège l'accès à vos comptes numériques. En 2026, l'utilisateur moyen possède plus de 150 comptes en ligne (email, banque, réseaux sociaux, SaaS, administration, etc.). Pourtant, la grande majorité des gens utilisent le même mot de passe pour tout, ou des mots de passe trop faibles.
C'est le point d'entrée n°1 des pirates. Si votre mot de passe est volé ou forcé, c'est potentiellement toute votre vie numérique qui est compromise.
Chiffres clés :
- 81 % des violations de données sont liées à des mots de passe faibles ou volés
- 65 % des Français utilisent le même mot de passe pour plusieurs comptes
- 23 millions de comptes français ont fuité en 2024-2025 (Have I Been Pwned)
- Un mot de passe de 8 caractères peut être cassé en 5 heures par un pirate équipé
- Un mot de passe de 12 caractères aléatoires mettrait 3 000 ans à être cassé
Comment les pirates cassent vos mots de passe
1. La force brute
Le pirate essaie toutes les combinaisons possibles, de "aaaa" à "zzzz", en passant par toutes les variations de chiffres et symboles. La vitesse dépend de la puissance de calcul. Avec un bon GPU, un pirate peut tester 10 à 15 milliards de combinaisons par seconde.
Un mot de passe de 8 caractères minuscules (a-z) = 26⁸ = 208 milliards de possibilités. À 10 milliards/s, il lui faut ~20 secondes.
2. L'attaque par dictionnaire
Au lieu de tout essayer, le pirate utilise une liste des mots de passe les plus courants. Le fichier "rockyou.txt" contient 14 millions de mots de passe réels. 90 % des gens utilisent un mot de passe présent dans ce fichier.
3. Les fuites de données (breaches)
Quand un site se fait pirater, les mots de passe fuitent. Si vous utilisez le même mot de passe partout, un pirate peut prendre le mot de passe d'un petit forum et l'essayer sur votre email professionnel (attaque par credential stuffing).
4. L'ingénierie sociale
Le pirate vous appelle ou vous envoie un message en se faisant passer pour un technicien, un collègue ou un support technique pour vous soutirer votre mot de passe. "Bonjour, c'est la DSI, on fait une maintenance, donnez-moi votre mot de passe."
5. Le keylogging (enregistrement de frappe)
Un logiciel espion installé sur votre ordinateur enregistre tout ce que vous tapez, y compris vos mots de passe.
6. Le sniffing (interception réseau)
Sur un WiFi public non sécurisé, le pirate peut intercepter les données échangées. Si le site n'est pas en HTTPS, votre mot de passe voyage en clair.
Les erreurs les plus courantes
| Erreur | Exemple | Temps pour casser |
| Mot de passe trop court | soleil1 | Moins de 1 seconde |
| Mot de passe = nom/prénom/date naissance | enzo1990 | Moins de 1 seconde |
| Mot de passe = nom de l'entreprise | NovaSec2026 | ~2 secondes |
| Mot de passe = "motdepasse" ou "123456" | password123 | Instantané |
| Réutiliser le même mot de passe partout | MotDePasse Unique partout | 1 fuite = tout compromis |
| Noter le mot de passe sur un post-it | Post-it collé à l'écran | Risque physique |
| Utiliser un mot du dictionnaire | chocolat | ~0,1 seconde |
| Substitutions évidentes (o→0, a→@) | ch0c0l@t | ~1 seconde |
Les pires mots de passe de 2025 (Top 10)
Classement NordPass 2025 :
- 123456
- password
- 123456789
- 12345678
- 12345
- qwerty123
- abc123
- Motdepasse (ou "password" en français)
- 000000
- iloveyou
Règles pour un mot de passe solide
La règle des 3 critères essentiels
- Longueur : 12 caractères minimum (16 recommandé)
- Complexité : minuscules + majuscules + chiffres + symboles
- Unicité : un mot de passe différent pour chaque service
Exemple comparatif
| Mot de passe | Longueur | Entropie | Temps pour casser | Verdict |
| soleil | 6 | Très faible | < 1 seconde | ❌ |
| Soleil2026! | 11 | Faible | ~2 heures | ❌ |
| S0l3il*2026! | 12 | Moyenne | ~3 ans | ⚠️ Acceptable |
| J'aime*le*Soleil*du*26! | 26 | Très élevée | + de 1 million d'années | ✅ |
| kX9#mP2$vB7&Lq5!rN1 | 20 | Maximale | + de 100 millions d'années | ✅ |
La méthode de la phrase secrète (passphrase)
Plutôt que de créer un mot de passe compliqué que vous allez oublier, créez une phrase secrète. C'est la méthode recommandée par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information).
Comment faire :
- Prenez 4 à 6 mots aléatoires qui n'ont pas de lien entre eux
- Ajoutez des majuscules, des chiffres ou des symboles
- Obtenez une phrase longue mais facile à retenir
Exemples de phrases secrètes
- Chaton*Vert*Danse*789! (24 caractères) ✅
- Banane#Trottoir@Astronaute#42! (31 caractères) ✅
- Mon%Vieux%Grimoire%2026% (23 caractères) ✅
- Pluie*Saucisson*Orchestre*7 (26 caractères) ✅
Pourquoi ça marche ? Chaque mot ajoute beaucoup d'entropie (variabilité). 4 mots parmi 50 000 mots français = 50 000⁴ possibilités, soit 6,25 × 10¹⁸ combinaisons. Même en connaissant la méthode, un pirate mettrait des milliers d'années.
Le gestionnaire de mots de passe
Vous ne pouvez pas retenir 150 mots de passe complexes différents. La solution : un gestionnaire de mots de passe (password manager).
Comment ça marche ?
- Vous créez un seul mot de passe maître (très fort, que vous seul connaissez)
- Le gestionnaire génère et stocke tous vos mots de passe dans un coffre-fort chiffré
- Il les remplit automatiquement dans les sites web et applications
- Vous n'avez plus besoin de retenir vos mots de passe, seulement le mot de passe maître
Quel gestionnaire choisir ?
| Logiciel | Gratuit ? | Points forts |
| Bitwarden | Oui (option payante 10 €/an) | Open source, français, très sécurisé, toutes plateformes |
| KeePass | Oui | Gratuit, fichiers locaux, très sécurisé |
| NordPass | Oui (version gratuite limitée) | Simple, design moderne, fonctionne bien |
| 1Password | Payant (~3 €/mois) | Excellent, idéal pour les familles/équipes |
| Dashlane | Payant (~5 €/mois) | Gestion des mots de passe + VPN, complet |
Recommandation NovaSec : Bitwarden pour les particuliers (gratuit, open source, fiable). KeePass pour les entreprises qui veulent garder le contrôle de leurs données (stockage local uniquement).
Double authentification (2FA)
La double authentification (2FA, two-factor authentication) ajoute une deuxième couche de sécurité à votre mot de passe. Même si un pirate vole votre mot de passe, il ne peut pas accéder à votre compte sans le deuxième facteur.
Les types de 2FA (du meilleur au moins bon)
| Type | Exemple | Sécurité | Note |
| Clé physique (FIDO/U2F) | YubiKey, Google Titan | Maximale | ✅ Recommandé |
| Application d'authentification | Google Authenticator, Authy, Microsoft Authenticator | Très élevée | ✅ Recommandé |
| SMS | Code par texto | Moyenne | ⚠️ Vulnérable au SIM swapping |
| Email | Code par email | Faible | ❌ Pas recommandé |
Le SIM swapping : Le pirate contacte votre opérateur mobile, usurpe votre identité, et demande à ce que votre numéro soit transféré sur une nouvelle carte SIM (qu'il possède). Il reçoit alors vos SMS, y compris vos codes 2FA. Solution : utiliser une application d'authentification plutôt que les SMS.
Activer la 2FA partout où c'est possible :
- Compte email principal (Gmail, Outlook, ProtonMail)
- Banque en ligne
- Réseaux sociaux (LinkedIn, Facebook, Instagram, X)
- Fournisseurs SaaS (Microsoft 365, Google Workspace)
- Gestionnaire de mots de passe
- Comptes administratifs (hébergement, nom de domaine, cloud)
Mots de passe en entreprise
Dans une TPE/PME, la gestion des mots de passe est encore plus critique car un seul compte compromis peut mettre toute l'entreprise en danger.
Bonnes pratiques pour l'entreprise
- Charte des mots de passe : établissez des règles claires (12 caractères min, pas de réutilisation, etc.)
- Gestionnaire d'équipe : utilisez Bitwarden Teams ou 1Password Business pour partager les mots de passe professionnels
- Politique de rotation : changez les mots de passe administrateurs tous les 6 mois (sauf si 2FA)
- Ne partagez jamais un mot de passe par email, SMS ou messagerie (Teams, WhatsApp)
- Comptes individuels : chaque employé doit avoir ses propres identifiants, pas un compte partagé
- Départ d'un employé : révoquez immédiatement tous ses accès
- SSO (Single Sign-On) : centralisez les accès via Microsoft 365 ou Google Workspace
- Audit régulier : vérifiez les mots de passe faibles dans l'entreprise
Cas pratique : le mot de passe partagé du réseau WiFi
Ne faites pas du mot de passe WiFi de l'entreprise le même que vos mots de passe administrateurs. Le mot de passe WiFi sera donné aux clients et aux visiteurs. Si c'est le même que votre email pro, un client malveillant ou un visiteur pourrait causer des dégâts. Utilisez un réseau invité séparé.
Checklist : évaluez vos mots de passe
- Mon mot de passe email fait au moins 16 caractères
- Mon mot de passe banque est unique (jamais utilisé ailleurs)
- J'ai activé la 2FA sur mon email principal
- J'ai activé la 2FA sur mon compte bancaire
- J'utilise un gestionnaire de mots de passe
- Je n'ai pas de post-it avec des mots de passe sur mon bureau
- Mes mots de passe pros sont dans un coffre-fort partagé
- Je n'utilise plus le même mot de passe pour plusieurs services
- J'ai vérifié si mes emails ont fuité (haveibeenpwned.com)
- J'ai changé mes mots de passe dans les 6 derniers mois
Quiz : testez vos connaissances
- Quelle est la longueur minimale recommandée pour un mot de passe ?
a) 8 caractères | b) 12 caractères | c) 16 caractères ✓ (16 recommandé, 12 strict minimum)
- Qu'est-ce qu'un gestionnaire de mots de passe ?
a) Un logiciel qui retient vos mots de passe à votre place ✓ | b) Un antivirus | c) Un navigateur web
- Quelle est la meilleure méthode de 2FA ?
a) SMS | b) Application d'authentification | c) Clé physique FIDO ✓
- Combien de temps faut-il pour casser "Soleil2026!" ?
a) Instantané | b) ~2 heures ✓ | c) 100 ans
- Qu'est-ce que le "credential stuffing" ?
a) Voler des fichiers sur un serveur | b) Essayer des mots de passe volés sur d'autres sites ✓ | c) Envoyer des spams
- Que faire si un site que vous utilisez se fait pirater ?
a) Attendre | b) Changer immédiatement votre mot de passe sur ce site ✓ | c) Supprimer votre compte
- Quel gestionnaire de mots de passe NovaSec recommande-t-il ?
a) Dashlane | b) Bitwarden ✓ | c) Le navigateur Chrome
- Qu'est-ce que le "SIM swapping" ?
a) Changer d'opérateur | b) Voler votre numéro de téléphone pour recevoir vos SMS ✓ | c) Pirater votre téléphone
- Un mot de passe de 8 caractères est :
a) Très sûr | b) Acceptable | c) Trop court, c'est insuffisant ✓
- Quel pourcentage des violations de données est lié aux mots de passe ?
a) 30 % | b) 51 % | c) 81 % ✓
Les outils recommandés
| Outil | Utilité | URL |
| Bitwarden | Gestionnaire de mots de passe | bitwarden.com |
| Have I Been Pwned | Vérifier si vos comptes ont fuité | haveibeenpwned.com |
| Google Authenticator | Application 2FA | Google Play / App Store |
| KeePass | Gestionnaire local open source | keepass.info |
| Password Strength Test | Tester la force d'un mot de passe | bitwarden.com/password-strength |
En résumé : long (16+), unique (jamais réutilisé), stocké dans un gestionnaire, protégé par 2FA. C'est la règle d'or des mots de passe sécurisés.
Formation NovaSec – Tous droits réservés – 2026 – Version 1.0