On entend souvent “utilisez un mot de passe complexe”. C’est vrai, mais incomplet. Un mot de passe fort seul ne protège plus grand chose si le reste de la chaîne est fragile.
Les fuites de données, le phishing et les attaques par credential stuffing ont rendu les règles d’avant largement insuffisantes. Voici ce qui fait réellement la différence.
Pourquoi un mot de passe fort ne suffit plus
Un mot de passe complexe reste utile. Mais plusieurs facteurs le rendent insuffisant à lui seul :
- Les fuites de bases de données : si un service que vous utilisez se fait compromettre, votre mot de passe (même fort) se retrouve dans des listes vendues sur des forums spécialisés.
- La réutilisation : si vous utilisez le même mot de passe sur plusieurs sites, une seule fuite suffit à compromettre tous vos comptes.
- Le phishing : une fausse page de connexion convaincante récupère votre mot de passe en temps réel, peu importe sa complexité.
La solidité d’un mot de passe ne protège que contre les attaques par force brute. Face aux autres vecteurs, elle ne change rien.
1. Activer la double authentification (2FA)
C’est la mesure la plus efficace après le mot de passe lui-même.
- Comment ça fonctionne : en plus du mot de passe, on vous demande un second facteur : un code temporaire généré par une application, une clé physique, ou un lien envoyé par email.
- Même si votre mot de passe fuite : sans le second facteur, l’attaquant ne peut pas se connecter.
- Les applications recommandées : Ente Auth, Aegis (Android), ou Bitwarden Authenticator sont des alternatives sérieuses et respectueuses de la vie privée.
Évitez autant que possible les SMS comme second facteur : ils sont vulnérables aux attaques par SIM swapping.
2. Utiliser un gestionnaire de mots de passe
Retenir un mot de passe unique et fort pour chaque site est impossible humainement. C’est là qu’intervient le gestionnaire.
- Il génère des mots de passe longs et aléatoires pour chaque service.
- Il les stocke de manière chiffrée, protégés par un seul mot de passe maître solide.
- Il détecte la réutilisation et vous alerte si un service est compromis.
Bitwarden (open source, auto-hébergeable), KeePassXC ou Proton Pass sont des options fiables. L’important est d’en choisir un et de l’utiliser vraiment.
Si vous ne voulez pas passer par un gestionnaire, vous pouvez générer des mots de passe forts ponctuellement avec un outil comme FloPassword.
3. Un mot de passe différent par service
C’est la règle de base qui reste la plus souvent ignorée.
- Pourquoi c’est critique : les attaques par credential stuffing consistent à tester automatiquement des combinaisons email/mot de passe volées sur des milliers de services. Si vous réutilisez vos mots de passe, une seule fuite ouvre toutes les portes.
- La solution pratique : avec un gestionnaire, ce problème disparaît. Chaque service a son propre identifiant généré.
4. Surveiller ses propres fuites
Vous pouvez vérifier si vos adresses email ou mots de passe ont été compromis dans des fuites connues via Have I Been Pwned. C’est gratuit, fiable et régulièrement mis à jour.
Si une adresse email apparaît dans une fuite, changez immédiatement le mot de passe du service concerné et de tous les comptes où vous utilisez la même combinaison.
Ce qu’il faut retenir
La sécurité par mot de passe repose sur quatre piliers :
- Un mot de passe long et unique par service, généré, pas mémorisé
- Un gestionnaire pour stocker et gérer ces mots de passe
- Le 2FA activé partout où c’est possible
- Une veille minimale sur les fuites qui vous concernent
C’est applicable en moins d’une heure. Et ça change radicalement le niveau d’exposition.
Ces pratiques s’appliquent aussi à la gestion des accès de votre site web. Si vous utilisez WordPress, la sécurité des comptes administrateurs fait partie des points couverts dans mon service d’infogérance WordPress.