Si j’avais mis un euro de coté à chaque fois qu’un utilisateur m’avait dit « C’est chiant les mots, j’en ai 50 à retenir. Pourquoi faut les changer tout le temps? », je pense que je serais millionnaire… Et malheureusement encore en 2025, j’entends souvent les utilisateurs se plaindre car une stratégie de changement de mot de passe a été mise en oeuvre en entreprise. Genre un changement tous les 3 ou 6 mois, ce qui fait maximum 4 mots de passe sur l’année…
Je vois certains rigoler car ce sont les premiers à faire ce genre de réflexion. Sachez qu’en retour, je cite que pour ma part, j’ai 4 comptes différents rien que pour administrer un réseau, la ou ils en ont qu’un seul. Et je ne parle même pas des comptes pour gérer les switchs, les serveurs, etc. Et j’ajoute également qu’à titre personnel, j’ai plus de 200 comptes à traîner sur le net. Cela vous paraît énorme? Prenez quelques minutes et sortez un bout de papier. Et sur celui-ci inscrivez tous les sites sur lesquels vous êtes inscrit (mails, banques, assurances, fournisseurs d’énergie, forums, sites marchands, etc.). Vous serez surpris du nombre d’identifiants que vous possédez.
La mauvaise pratique… couramment utilisé
Du coup, je vois venir et me dire: « T’as vu, comment retenir autant de mot de passe? ». Avant de vous donner la solution, je vais juste vous montrer comment la majorité des gens (dont peut-être vous) procède. Tout d’abord, la méthode la plus simple est de les noter dans un cahier (du pain béni pour les cambrioleurs) ou dans un simple fichier Excel. Mais également, pour se simplifier la vie, la seconde méthode est d’utiliser toujours le même mot de passe en le modifiant un peu en fonction du besoin. Du coup, on retrouve deux façons de faire:
Cela suffisait il y a 10ans, mais aujourd’hui, on vous demande de mettre un peu de complexité dans vos mots de passe (nombre de caractères minimum, mélange de chiffre, lettre et caractères spéciaux). Donc, la plupart adapte celui-ci en rajoutant une suite de chiffres, genre 123, à la fin de votre mot de passe. Et si le site demande un caractère spécial, ils rajoutent un point d’interrogation par exemple. Ce qui pourrait donner Azerty1234? ou Choupinou2022$ (Choupinou est né en 2022)…
Je sens certains commencer à rire jaune car oui, à ce moment, il est « facile » de deviner votre mot de passe. En effet, les mots de passe type « azerty », « motdepasse » sont tellement utilisés (sic..) qu’il existe aujourd’hui sur internet des listes des mots de passe les plus utilisés. Le pirate lui n’a qu’à utiliser une application qui va tester toute cette liste (s’il connait votre nom d’utilisateur, qui est souvent l’email…).
Vous pensez que Choupinou2022$ est plus sécurisé? Sachez qu’aujourd’hui, un pirate fait ce qu’on appelle du « social engeneering ». En gros, ils vont scruter vos réseaux sociaux et faire une cartographie de votre vie personnelle. Et sur Facebook, vous avez mis 25 articles en 2022 pour parler des premiers pas de Choupinou au sein de votre famille… Reste plus qu’au pirate de saisir ces informations dans son application et cette dernière va tester toute seule les différentes combinaisons possibles.
Ces deux attaques sont des attaques dite de « bruteforce » et sont redoutables si les sites ne verrouillent pas votre compte au bout de 3 ou 5 échecs consécutifs. Par exemple, il suffit qu’il teste sur un forum un peu ancien sur lequel vous discutez de votre passion pour le patinage artistique pour trouver votre mot de passe. Et une fois en sa possession, il va tester ce mot de passe pour accéder à votre boite mail. Le problème c’est que vous avez utilisé le même mot de passe. Le voila désormais maître de toute votre vie numérique… En gros, il va pouvoir, sans problème, usurper votre identité.
Ah… Je n’entends plus personne… Je vous ai fait peur? Cool, c’est que le message est passé. Donc avant de vous parler des bonnes pratiques dans la gestion des mots de passe, je vous invite à faire un tour sur le site have i been pwned. Il suffit de saisir votre email pour savoir si une fuite de données a été constatée sur un site internet et dont votre email en fait partie. En gros, si c’est vert ça va, si c’est rouge… changez tous vos mots de passe (surtout si vous utilisez toujours le même…)
La bonne pratique: Utiliser un gestionnaire de mot de passe
Je pense que maintenant, vous avez compris l’intérêt de mettre un mot de passe fort, mais pas uniquement. Il faut également saisir un mot de passe différent pour tous les comptes que vous utilisez. Mais on revient alors à comment retenir 200 mots de passe différents, surtout s’ils sont complexes? Tout simplement en utilisant un gestionnaire/coffre-fort de mot de passe. L’intérêt d’un tel outil est qu’il est nécessaire de ne retenir qu’un seul mot de passe (celui pour déverrouiller votre coffre-fort) et d’enregistrer ensuite tous vos identifiants dedans. Autre avantage, il est capable de vous générer des mots de passe selon la complexité demandé.
Vous allez me dire: « j’utilise celui de mon navigateur/téléphone ». Et bien, moi je suis pas fan, car la clé de ce « coffre » est le mot de passe de votre ordinateur ou téléphone. Et celui-ci est bien souvent faible… C’est clair que c’est facile, il suffit de cliquer sur « Enregistrer le mot de passe » quand le navigateur vous le demande. Sachez juste qu’il est aussi facile pour un pirate d’y accéder. Alors, oui, le pirate doit accéder à votre machine, mais le risque existe bel et bien.
Je vous recommande donc l’utilisation de Keepass à titre personnel. Je vous invite à consulter ce tutoriel pour en savoir plus sur son fonctionnement. A titre professionnel, si vous avez un service informatique, rapprochez-vous de celui pour savoir s’il en existe un collaboratif (genre LockSelf ou BitWarden), et si ce n’est pas le cas, installez Keepass.
Grâce à ces outils, vous aurez les cartes en main pour sécuriser les accès à vos différents comptes. Je vais être honnête, la prise en main par des non-initiés est assez déroutante au départ et nécessite une certaine rigueur. Mais, je peux vous assurez (ce sont des utilisateurs eux mêmes qui m’ont fait ce retour), une fois adopté, vous ne voudrez plus revenir en arrière. Mais je conseille fortement de prendre le temps de les apprivoiser, il en va de votre sécurité numérique.
Avec cela, vous aurez amélioré votre sécurité, mais pas à 100%. Malheureusement, en informatique, hormis ne plus utiliser d’outils numériques, il est impossible d’être sur à 100% de ne pas se faire pirater. En parallèle d’un gestionnaire de mots de passe (et des mots différents pour chaque compte), il est nécessaire, quand le site le permet, d’activer ce qu’on appelle la double authentification ou l’authentification multi-facteurs (connu également sous le nom MFA). Vous l’utilisez déjà pour vos comptes bancaires. Il s’agit d’un code de confirmation à saisir sur une application de votre smartphone. De plus en plus de sites le propose en option, et je vous conseille de l’activer dès que possible.
Il existe bien d’autres façons de faire, mais si déjà, vous partez d’un mot de passe identique à l’utilisation d’un gestionnaire de mot de passe, vous aurez déjà fait un grand pas en avant dans la sécurisation de votre identité.
