Qu’est-ce qu’un bon mot de passe ?

Mot de passe

Voici un article approfondi sur l’art et la science des mots de passe. Il est structuré de manière à être informatif, pratique et accessible et pour comprendre les enjeux de cybersécurité.

À l’ère du tout-numérique, notre vie entière est verrouillée derrière des écrans. Comptes bancaires, impôts, réseaux sociaux (Facebook, Instagram, X, Snapchat), courriels professionnels, photos de famille : nous confions nos secrets les plus intimes à des serveurs distants. Pourtant, pour protéger ce trésor de données, la majorité d’entre nous utilise encore des mots de passe trop souvent faible.  En cybersécurité, le mot de passe est la première ligne de défense.

Qu’est-ce qui différencie réellement un mot de passe médiocre d’un mot de passe d’une robustesse absolue ? Comment adapter sa sécurité selon les différents usages sur un ordinateur et sur le Web ? Et enfin, quelle est la réalité mathématique qui rend un bon mot de passe pratiquement impossible à cracker pour un pirate ? Plongée au cœur de la forteresse numérique.

Partie 1 : L’anatomie d’un mauvais mot de passe (ce qu’il faut bannir)

Pour comprendre ce qu’est un bon mot de passe, il faut d’abord analyser pourquoi les mauvais échouent si lamentablement. Chaque année, les entreprises de cybersécurité publient la liste des mots de passe les plus piratés. On y retrouve invariablement 123456, motdepasse, ou qwerty.

Les erreurs les plus courantes reposent sur la prévisibilité humaine :

  • Les informations personnelles : Utiliser le nom de son chien, sa date de naissance ou le prénom de son enfant. Ce sont des données que n’importe quel hacker peut trouver en cinq minutes de recherche sur vos réseaux sociaux (ce qu’on appelle l’ingénierie sociale).

  • Les mots du dictionnaire : Utiliser un mot simple comme Soleil ou Ordinateur. Les logiciels de piratage possèdent des listes de millions de mots de dictionnaire dans toutes les langues et les testent instantanément.

  • Les substitutions évidentes : Remplacer un « E » par un « 3 » ou un « A » par un « @ » (ex: P@ssw0rd). Les algorithmes de brute-force intègrent ces règles depuis les années 1990.

Si votre mot de passe ressemble à cela, il ne protège rien. Il ne fait que ralentir un attaquant de quelques microsecondes.

Partie 2 : Les règles d’or d’un bon mot de passe moderne

Pendant longtemps, les experts ont conseillé de créer des mots de passe courts mais complexes, du type Tr0$p@!. Le problème ? Ils sont impossibles à retenir pour les humains, mais très faciles à deviner pour les machines. Aujourd’hui, la philosophie a changé. On privilégie la longueur et la complexité aléatoire.

Voici les critères fondamentaux d’un mot de passe robuste :

1. La longueur prime sur tout

En cryptographie, chaque caractère ajouté augmente de manière exponentielle le temps nécessaire pour casser le code. Un bon mot de passe doit comporter au minimum 12 à 14 caractères, l’idéal absolu pour les comptes critiques étant de 16 caractères ou plus.

2. La diversité des caractères

Le mot de passe doit être un chaos organisé. Il doit mélanger obligatoirement :

  • Des lettres majuscules (A-Z)

  • Des lettres minuscules (a-z)

  • Des chiffres (0-9)

  • Des caractères spéciaux (?, !, $, #, *, etc.)

3. Le concept de la « phrase de passe » (passphrase)

Pour allier sécurité algorithmique et mémoire humaine, la meilleure solution est la phrase de passe. Au lieu d’un mot, vous choisissez une suite de mots sans lien logique évident.

Exemple médiocre : Jaimeleschiens (Trop simple, mots du dictionnaire collés).

Exemple excellent : Camion-Rose-68-Guitare#Café

Cette méthode crée un mot de passe très long (plus de 25 caractères), facile à mémoriser pour vous, mais qui représente un cauchemar absolu pour un ordinateur de piratage.

Partie 3 : Adapter ses mots de passe aux différents usages

On ne protège pas un compte de jeu vidéo de la même manière que son compte bancaire principal. De plus, la gestion des accès varie selon qu’on sécurise sa machine physique (l’ordinateur) ou des services en ligne.

1. Le mot de passe de session de l’ordinateur (le verrou physique)

Le mot de passe qui ouvre votre session Windows, macOS ou Linux a une particularité : un pirate doit généralement avoir un accès physique à votre machine pour le taper (sauf en cas de piratage réseau complexe).

  • L’approche moderne : Aujourd’hui, on utilise souvent des codes PIN courts (comme sur Windows) ou de la biométrie (TouchID, FaceID).

  • La nuance de sécurité : Ces codes courts sont sécurisés uniquement parce que le système de l’ordinateur bloque la machine après 3 ou 5 essais infructueux. Le chiffrement matériel empêche les attaques automatisées à grande vitesse. Un mot de passe de 8 caractères ou un code PIN à 6 chiffres y est donc acceptable, à condition que le disque dur soit chiffré (via BitLocker ou FileVault).

2. Les comptes web de haute importance (banque, impôts, courriel principal)

Ici, aucune flexibilité n’est permise. Votre adresse email principale est la clé de voûte de votre vie numérique : si un pirate y accède, il peut cliquer sur « Mot de passe oublié » sur tous vos autres sites et intercepter les liens de réinitialisation.

  • La règle : Pour ces comptes, utilisez des phrases de passe uniques de plus de 16 caractères, générées aléatoirement.

3. Les comptes secondaires (forums, sites de e-commerce occasionnels)

Pour éviter la fatigue mentale, l’utilisation d’un gestionnaire de mots de passe (comme Bitwarden, Dashlane ou 1Password) est indispensable. Vous n’avez qu’à retenir un seul « mot de passe maître » ultra-sécurisé. Le logiciel se charge de générer et de retenir des monstres de complexité (ex: k7$mP!9zLx#qW2@v) pour chaque site.

Partie 4 : Pourquoi est-il si difficile de cracker un bon mot de passe ?

Pour comprendre l’immunité d’un bon mot de passe, il faut se pencher sur la méthode de travail des pirates. Les hackers n’essaient pas de deviner votre mot de passe au hasard derrière leur écran ; ils utilisent des logiciels automatisés (comme John the Ripper ou Hashcat) installés sur des ordinateurs surpuissants équipés de plusieurs cartes graphiques (GPU).

Ces machines effectuent deux types d’attaques principales :

  1. L’attaque par dictionnaire : Le logiciel teste des milliards de combinaisons de mots connus, de variations et de mots de passe déjà fuités lors de piratages précédents.

  2. L’attaque par force brute : L’ordinateur teste mathématiquement toutes les combinaisons possibles de caractères, une par une (aaaa, aaab, aaac… jusqu’à trouver la bonne).

C’est ici que les mathématiques entrent en jeu et deviennent le pire ennemi du pirate. C’est ce qu’on appelle l’entropie.

Le calcul de l’explosion combinatoire

Prenons un alphabet de base. Si vous utilisez uniquement des lettres minuscules (26 possibilités), un mot de passe de 4 lettres offre $26^4$ combinaisons, soit 456 976 possibilités. Une carte graphique moderne teste cela en une fraction de seconde.

Maintenant, appliquons les règles d’un bon mot de passe : 14 caractères, mêlant minuscules (26), majuscules (26), chiffres (10) et caractères spéciaux (environ 30). L’ordinateur a désormais le choix parmi un « alphabet » de 92 caractères pour chaque emplacement.

Le nombre de combinaisons possibles est d’environ 13 octillons de combinaisons.

Le facteur temps : Une barrière infranchissable

Imaginons un pirate équipé d’un supercalculateur ou d’un réseau de serveurs capables de tester la vitesse ahurissante de 100 milliards de combinaisons par seconde.

  • Pour un mot de passe simple de 8 caractères (uniquement des lettres et des chiffres), la machine trouvera la solution en quelques heures au maximum.

  • Pour notre bon mot de passe de 14 caractères complexes (Windows, macOS ou Linuxcela représente environ 990 millions d’années.

Même en augmentant la puissance de calcul par un facteur de 1 million (grâce à l’évolution technologique future ou à des supercalculateurs étatiques), il faudrait encore près de 1 000 ans pour casser ce unique mot de passe par force brute. Face à un tel mur mathématique, le pirate abandonne instantanément et passe à une cible plus facile.

Partie 5 : Les attaques annexes (quand le mot de passe ne suffit plus)

Il est crucial de comprendre que même le mot de passe le plus parfait du monde peut échouer si l’environnement direct est compromis. Les pirates savent que la force brute est inutile contre un bon mot de passe, ils contournent donc le problème :

  1. Le phishing (hameçonnage) : Si vous tapez volontairement votre phrase de passe ultra-sécurisée sur un faux site Web (qui ressemble à s’y méprendre à celui de votre banque), le pirate la récupère sans aucun effort de calcul.

  2. Les keyloggers (enregistreurs de frappe) : Si votre ordinateur personnel est infecté par un virus, ce logiciel espion enregistre chaque touche pressée sur votre clavier. La complexité du mot de passe ne sert alors plus à rien.

  3. La réutilisation : Si vous utilisez le même excellent mot de passe pour votre banque et pour un petit forum de discussion, le jour où le forum est piraté, votre mot de passe est exposé publiquement. Les pirates vont alors le tester sur le site de la banque.

L’arme absolue : La double authentification (2FA)

Pour pallier ces risques, un bon mot de passe doit toujours être couplé à la double authentification (A2F ou MFA). Cela consiste à ajouter une deuxième étape de vérification : un code reçu par SMS, une notification sur une application (comme Google Authenticator) ou une clé USB de sécurité (YubiKey).

Grâce à cela, même si un pirate parvient par un moyen détourné à découvrir votre mot de passe de 16 caractères, il restera bloqué à la porte de votre compte, car il ne possède pas votre téléphone physique pour valider la connexion.

Suggestions de lecture