Formation Cybersécurité (Sensibilisation)
Module 3 : Mots de passe robustes et authentification multi-facteurs (MFA)
3.1 Mot de passe robuste, passphrase, temps de craquage : la science derrière la pratique
« 8 caractères avec majuscule et chiffre » : cette règle a 25 ans et n'est plus défendable en 2026. Découvrez les nouvelles recommandations ANSSI / NIST, la méthode Diceware, et pourquoi un mot de passe peut être craqué en 2 secondes ou en 200 milliards d'années selon sa construction.
Temps de craquage estimé par GPU moderne (2026)
Vitesse de craquage : ~1011 hashes/seconde sur RTX 4090, ~1013 sur cluster de 100 GPU. Hypothèse : hashes lents type bcrypt (sinon, ×100 plus rapide).
Pourquoi la « complexité » ne suffit plus
Les anciennes règles (« 8 caractères avec une majuscule, un chiffre et un symbole ») datent des années 90, quand les ordinateurs étaient lents. En 2026, un GPU moderne (NVIDIA RTX 4090) peut tester environ 1011 hashes par seconde sur un algorithme rapide (MD5, SHA-1, NTLM), et 109 sur un algorithme lent (bcrypt). Sur un cluster cloud de 100 GPU, ces chiffres sont multipliés par 100.
Conséquences concrètes :
- Un mot de passe de 8 caractères mêlant tous les types (~95 caractères possibles, 958 ≈ 7×1015) tombe en quelques heures sur un cluster de 100 GPU même avec bcrypt
- Un mot de passe de 10 caractères tient quelques semaines à plusieurs mois
- Un mot de passe de 12 caractères tient plusieurs années — c'est le minimum 2026
- Un mot de passe de 14+ caractères est confortablement hors d'atteinte du craquage brute force
Mais ce calcul théorique cache la réalité : la quasi-totalité des attaques ne procèdent pas par brute force pur. Elles utilisent des dictionnaires de mots de passe déjà fuités (15+ milliards de combinaisons dans les bases COMB+, RockYou, Have I Been Pwned), des règles de substitution (« a » → « @ », « e » → « 3 »), et des mots de passe contextuels (nom de l'entreprise + année). Un mot de passe « complexe » comme Entreprise2026! est dans tous les dictionnaires modernes — il tombe en quelques secondes, malgré ses 16 caractères et sa complexité apparente.
La passphrase : la révolution Diceware
La passphrase (« phrase de passe ») est composée de plusieurs mots aléatoires tirés d'un dictionnaire de mots courants (français, anglais, ou autre). La méthode Diceware, inventée en 1995 par Arnold Reinhold, en formalise la construction :
- Prendre un dictionnaire de ~7 776 mots (un par combinaison de 5 dés à 6 faces)
- Lancer 5 dés pour obtenir un nombre à 5 chiffres (ex : 36241)
- Chercher le mot correspondant dans le dictionnaire
- Répéter pour obtenir 5-7 mots
- Assembler avec des séparateurs (espaces, tirets) :
vélo bleu mardi prune juin
Mathématiquement : 5 mots Diceware = 7 7765 ≈ 2,8 × 1019 combinaisons. C'est environ 2 millions de fois plus que P@ssw0rd! (9 caractères complexes), tout en étant beaucoup plus facile à mémoriser. Pour les comptes ultra-sensibles, monter à 7 mots (2 × 1027 combinaisons) garantit une résistance pour des décennies, même face à des progrès matériels significatifs.
Pourquoi ça marche : le cerveau humain mémorise infiniment mieux des mots à signification que des chaînes alphanumériques aléatoires. Cheval-fenêtre-violet-courir se retient en une minute ; k9$Mn3@xQ!Ld nécessite des semaines de répétition. À sécurité équivalente, la passphrase l'emporte largement.
Les recommandations 2026 : ANSSI, NIST, CNIL
Les recommandations actuelles des principales autorités convergent :
- ANSSI (Guide d'hygiène informatique 2024) : minimum 12 caractères, idéalement 14+, passphrases encouragées
- NIST (SP 800-63B revision 2024) : minimum 15 caractères, vérification contre les bases de mots de passe compromis, abandon des règles de complexité forcées
- CNIL (délibération 2017-012 modifiée) : minimum 12 caractères avec 4 types de caractères, ou 14 sans contraintes de complexité
Évolutions majeures par rapport aux anciennes règles :
- Abandon du renouvellement forcé (« changez votre mot de passe tous les 90 jours »). Cette pratique conduisait à des mots de passe faibles incrémentés (Été2024 → Hiver2024 → Été2025). Désormais : on garde le même mot de passe fort, on ne le change que en cas de suspicion de compromission.
- Abandon des contraintes excessives (« 1 majuscule, 1 minuscule, 1 chiffre, 1 symbole »). Ces règles produisent des mots de passe stéréotypés tous similaires. Une passphrase longue sans symbole est meilleure.
- Vérification systématique contre les bases de mots de passe fuités (HaveIBeenPwned, COMB+). Tout mot de passe figurant dans ces bases doit être interdit.
- MFA prioritaire sur la complexité du mot de passe : un mot de passe correct + MFA > un mot de passe très complexe sans MFA.
Le piège n°1 : la réutilisation entre comptes
Aucun mot de passe, même parfaitement construit, ne protège s'il est réutilisé sur plusieurs services. Pourquoi ? Parce que les attaquants pratiquent le credential stuffing : ils prennent les identifiants fuités d'un service (souvent un service grand public peu protégé) et les testent automatiquement sur tous les autres services en ligne. Si vous réutilisez le même mot de passe, ils accèdent à tous vos comptes en cascade.
Quelques chiffres :
- 15+ milliards de combinaisons identifiant/mot de passe exposées dans les bases COMB+, HaveIBeenPwned, RockYou2024 (cumulé)
- 60 % des internautes réutilisent leurs mots de passe sur plusieurs comptes (étude Bitwarden 2024)
- 30 % utilisent le même mot de passe pour leur compte pro et au moins un compte perso
- Les bots de credential stuffing testent plusieurs millions de combinaisons par seconde sur les services web
Vérifier si vos identifiants ont fuité : HaveIBeenPwned.com, service gratuit qui interroge sa base de 15 milliards d'entrées. Si votre email apparaît dans plusieurs leaks récents, changer tous les mots de passe associés.
La parade définitive : un mot de passe unique par service, géré via un gestionnaire de mots de passe (chapitre suivant). C'est l'investissement le plus rentable en cybersécurité personnelle et professionnelle.
Mots de passe à éviter absolument
Le SplashData Top 25 et NordPass Top 200 publient chaque année la liste des mots de passe les plus utilisés. En 2024 :
Plus largement, à éviter absolument :
- Votre prénom, nom, date de naissance, ceux de vos proches ou animaux
- Le nom de votre entreprise + année (Renault2026, BNP2025...)
- Les séquences clavier (azerty, qwerty, 1234567890, qsdfgh)
- Les mots courants seuls, même longs (« administrateur », « bibliothèque »)
- Les références culturelles évidentes (Goldorak, Marseille, AC/DC, Pikachu)
- Les substitutions « 1337 » trop classiques (P@ssw0rd, M0n@ch@t) — déjà dans tous les dictionnaires
Comment partager / récupérer un mot de passe en sécurité
Situations qui imposent un partage temporaire : nouveau salarié, prestataire externe, dépannage d'un compte partagé. Ne jamais envoyer par email ou messagerie — les messages restent dans les historiques pendant des années.
Bonnes pratiques :
- Gestionnaire d'entreprise avec partage natif (1Password Business, Bitwarden Teams, Dashlane Business) — méthode royale
- Services de partage chiffré à expiration : OneTimeSecret, PrivateBin (le destinataire ne peut lire qu'une fois, le lien expire ensuite)
- Canal séparé : nom d'utilisateur par email, mot de passe par SMS (chiffrement de bout en bout sur certains opérateurs)
- Changement immédiat par le destinataire dès première utilisation
Pour la récupération en cas d'oubli : utiliser uniquement les processus officiels du service (« mot de passe oublié »), jamais demander à un collègue par téléphone (qui pourrait être un attaquant). Côté entreprise, équiper les utilisateurs d'un gestionnaire de mots de passe avec mécanisme de récupération admin (chiffrement à séquestre) évite la quasi-totalité des cas.
Bon vs Mauvais mot de passe — Comparatif visuel
À éviter
- Court (< 12 caractères)
- Informations personnelles devinables
- Mots du dictionnaire avec substitutions classiques
- Identique pour plusieurs comptes
À adopter
- Long (14+ caractères, idéal 20+)
- Passphrase ou aléatoire généré
- Unique pour chaque service
- Combiné avec MFA actif
À retenir
- Minimum 12 caractères ANSSI / CNIL, 15 NIST. Idéal : passphrase de 20+ caractères.
- Une passphrase Diceware de 5 mots = 1015 ans à craquer + facile à mémoriser.
- Abandon du renouvellement forcé 90 jours et des règles de complexité excessives.
- Un mot de passe par service — la réutilisation expose à 15+ Md d'identifiants fuités (credential stuffing).
- Éviter : prénoms, dates, entreprise + année, séquences clavier, substitutions « 1337 » classiques.
- Partage : jamais par email. Gestionnaire d'entreprise ou service à usage unique chiffré.