Cybersécurité Utilisateur

Formation Cybersécurité (Sensibilisation)

Module 3 : Mots de passe robustes et authentification multi-facteurs (MFA)

Module 3 : Mots de passe & MFA 18 min de lecture

3.1 Mot de passe robuste, passphrase, temps de craquage : la science derrière la pratique

« 8 caractères avec majuscule et chiffre » : cette règle a 25 ans et n'est plus défendable en 2026. Découvrez les nouvelles recommandations ANSSI / NIST, la méthode Diceware, et pourquoi un mot de passe peut être craqué en 2 secondes ou en 200 milliards d'années selon sa construction.

Temps de craquage estimé par GPU moderne (2026)
password123
11 caractères, dans tous les leaks
Instantané
P@ssw0rd!
9 car., MAJ+min+chiffre+symbole « complexe »
~2 secondes
M0n!CH4t2026
12 car., MAJ+min+chiffre+symbole
~3 mois
cheval-prune-bureau
3 mots aléatoires (passphrase)
~3 000 ans
vélo-bleu-mardi-prune-juin
5 mots aléatoires Diceware
~1015 ans

Vitesse de craquage : ~1011 hashes/seconde sur RTX 4090, ~1013 sur cluster de 100 GPU. Hypothèse : hashes lents type bcrypt (sinon, ×100 plus rapide).

1

Pourquoi la « complexité » ne suffit plus

Les anciennes règles (« 8 caractères avec une majuscule, un chiffre et un symbole ») datent des années 90, quand les ordinateurs étaient lents. En 2026, un GPU moderne (NVIDIA RTX 4090) peut tester environ 1011 hashes par seconde sur un algorithme rapide (MD5, SHA-1, NTLM), et 109 sur un algorithme lent (bcrypt). Sur un cluster cloud de 100 GPU, ces chiffres sont multipliés par 100.

Conséquences concrètes :

  • Un mot de passe de 8 caractères mêlant tous les types (~95 caractères possibles, 958 ≈ 7×1015) tombe en quelques heures sur un cluster de 100 GPU même avec bcrypt
  • Un mot de passe de 10 caractères tient quelques semaines à plusieurs mois
  • Un mot de passe de 12 caractères tient plusieurs années — c'est le minimum 2026
  • Un mot de passe de 14+ caractères est confortablement hors d'atteinte du craquage brute force

Mais ce calcul théorique cache la réalité : la quasi-totalité des attaques ne procèdent pas par brute force pur. Elles utilisent des dictionnaires de mots de passe déjà fuités (15+ milliards de combinaisons dans les bases COMB+, RockYou, Have I Been Pwned), des règles de substitution (« a » → « @ », « e » → « 3 »), et des mots de passe contextuels (nom de l'entreprise + année). Un mot de passe « complexe » comme Entreprise2026! est dans tous les dictionnaires modernes — il tombe en quelques secondes, malgré ses 16 caractères et sa complexité apparente.

2

La passphrase : la révolution Diceware

La passphrase (« phrase de passe ») est composée de plusieurs mots aléatoires tirés d'un dictionnaire de mots courants (français, anglais, ou autre). La méthode Diceware, inventée en 1995 par Arnold Reinhold, en formalise la construction :

  1. Prendre un dictionnaire de ~7 776 mots (un par combinaison de 5 dés à 6 faces)
  2. Lancer 5 dés pour obtenir un nombre à 5 chiffres (ex : 36241)
  3. Chercher le mot correspondant dans le dictionnaire
  4. Répéter pour obtenir 5-7 mots
  5. Assembler avec des séparateurs (espaces, tirets) : vélo bleu mardi prune juin

Mathématiquement : 5 mots Diceware = 7 7765 ≈ 2,8 × 1019 combinaisons. C'est environ 2 millions de fois plus que P@ssw0rd! (9 caractères complexes), tout en étant beaucoup plus facile à mémoriser. Pour les comptes ultra-sensibles, monter à 7 mots (2 × 1027 combinaisons) garantit une résistance pour des décennies, même face à des progrès matériels significatifs.

Pourquoi ça marche : le cerveau humain mémorise infiniment mieux des mots à signification que des chaînes alphanumériques aléatoires. Cheval-fenêtre-violet-courir se retient en une minute ; k9$Mn3@xQ!Ld nécessite des semaines de répétition. À sécurité équivalente, la passphrase l'emporte largement.

Outils Diceware : en français, plusieurs dictionnaires sont disponibles (Framasoft, EFF Long French Wordlist). Pour générer aléatoirement sans dés physiques, utiliser un gestionnaire de mots de passe qui propose la fonction (Bitwarden, 1Password, KeePass).
3

Les recommandations 2026 : ANSSI, NIST, CNIL

Les recommandations actuelles des principales autorités convergent :

  • ANSSI (Guide d'hygiène informatique 2024) : minimum 12 caractères, idéalement 14+, passphrases encouragées
  • NIST (SP 800-63B revision 2024) : minimum 15 caractères, vérification contre les bases de mots de passe compromis, abandon des règles de complexité forcées
  • CNIL (délibération 2017-012 modifiée) : minimum 12 caractères avec 4 types de caractères, ou 14 sans contraintes de complexité

Évolutions majeures par rapport aux anciennes règles :

  • Abandon du renouvellement forcé (« changez votre mot de passe tous les 90 jours »). Cette pratique conduisait à des mots de passe faibles incrémentés (Été2024 → Hiver2024 → Été2025). Désormais : on garde le même mot de passe fort, on ne le change que en cas de suspicion de compromission.
  • Abandon des contraintes excessives (« 1 majuscule, 1 minuscule, 1 chiffre, 1 symbole »). Ces règles produisent des mots de passe stéréotypés tous similaires. Une passphrase longue sans symbole est meilleure.
  • Vérification systématique contre les bases de mots de passe fuités (HaveIBeenPwned, COMB+). Tout mot de passe figurant dans ces bases doit être interdit.
  • MFA prioritaire sur la complexité du mot de passe : un mot de passe correct + MFA > un mot de passe très complexe sans MFA.
Publicité
4

Le piège n°1 : la réutilisation entre comptes

Aucun mot de passe, même parfaitement construit, ne protège s'il est réutilisé sur plusieurs services. Pourquoi ? Parce que les attaquants pratiquent le credential stuffing : ils prennent les identifiants fuités d'un service (souvent un service grand public peu protégé) et les testent automatiquement sur tous les autres services en ligne. Si vous réutilisez le même mot de passe, ils accèdent à tous vos comptes en cascade.

Quelques chiffres :

  • 15+ milliards de combinaisons identifiant/mot de passe exposées dans les bases COMB+, HaveIBeenPwned, RockYou2024 (cumulé)
  • 60 % des internautes réutilisent leurs mots de passe sur plusieurs comptes (étude Bitwarden 2024)
  • 30 % utilisent le même mot de passe pour leur compte pro et au moins un compte perso
  • Les bots de credential stuffing testent plusieurs millions de combinaisons par seconde sur les services web

Vérifier si vos identifiants ont fuité : HaveIBeenPwned.com, service gratuit qui interroge sa base de 15 milliards d'entrées. Si votre email apparaît dans plusieurs leaks récents, changer tous les mots de passe associés.

La parade définitive : un mot de passe unique par service, géré via un gestionnaire de mots de passe (chapitre suivant). C'est l'investissement le plus rentable en cybersécurité personnelle et professionnelle.

5

Mots de passe à éviter absolument

Le SplashData Top 25 et NordPass Top 200 publient chaque année la liste des mots de passe les plus utilisés. En 2024 :

123456
password
qwerty
azerty
marseille
soleil
motdepasse
administrateur
P@ssw0rd

Plus largement, à éviter absolument :

  • Votre prénom, nom, date de naissance, ceux de vos proches ou animaux
  • Le nom de votre entreprise + année (Renault2026, BNP2025...)
  • Les séquences clavier (azerty, qwerty, 1234567890, qsdfgh)
  • Les mots courants seuls, même longs (« administrateur », « bibliothèque »)
  • Les références culturelles évidentes (Goldorak, Marseille, AC/DC, Pikachu)
  • Les substitutions « 1337 » trop classiques (P@ssw0rd, M0n@ch@t) — déjà dans tous les dictionnaires
6

Comment partager / récupérer un mot de passe en sécurité

Situations qui imposent un partage temporaire : nouveau salarié, prestataire externe, dépannage d'un compte partagé. Ne jamais envoyer par email ou messagerie — les messages restent dans les historiques pendant des années.

Bonnes pratiques :

  • Gestionnaire d'entreprise avec partage natif (1Password Business, Bitwarden Teams, Dashlane Business) — méthode royale
  • Services de partage chiffré à expiration : OneTimeSecret, PrivateBin (le destinataire ne peut lire qu'une fois, le lien expire ensuite)
  • Canal séparé : nom d'utilisateur par email, mot de passe par SMS (chiffrement de bout en bout sur certains opérateurs)
  • Changement immédiat par le destinataire dès première utilisation

Pour la récupération en cas d'oubli : utiliser uniquement les processus officiels du service (« mot de passe oublié »), jamais demander à un collègue par téléphone (qui pourrait être un attaquant). Côté entreprise, équiper les utilisateurs d'un gestionnaire de mots de passe avec mécanisme de récupération admin (chiffrement à séquestre) évite la quasi-totalité des cas.

Bon vs Mauvais mot de passe — Comparatif visuel
À éviter
Dupont1985!
Renault2026
P@ssw0rd!
azerty123
  • Court (< 12 caractères)
  • Informations personnelles devinables
  • Mots du dictionnaire avec substitutions classiques
  • Identique pour plusieurs comptes
À adopter
cheval-prune-mardi-bleu-juin
vélo!fenêtre.violet?courir
k9$Mn3@xQ!LdR5pVbN8wY (gestionnaire)
Unique-par-Service!2026
  • Long (14+ caractères, idéal 20+)
  • Passphrase ou aléatoire généré
  • Unique pour chaque service
  • Combiné avec MFA actif
À retenir
  • Minimum 12 caractères ANSSI / CNIL, 15 NIST. Idéal : passphrase de 20+ caractères.
  • Une passphrase Diceware de 5 mots = 1015 ans à craquer + facile à mémoriser.
  • Abandon du renouvellement forcé 90 jours et des règles de complexité excessives.
  • Un mot de passe par service — la réutilisation expose à 15+ Md d'identifiants fuités (credential stuffing).
  • Éviter : prénoms, dates, entreprise + année, séquences clavier, substitutions « 1337 » classiques.
  • Partage : jamais par email. Gestionnaire d'entreprise ou service à usage unique chiffré.
Sommaire de la formation
Progression : 43%