Si votre mot de passe pour votre messagerie est le même que celui de votre banque en ligne, votre réseau social et votre boutique e-commerce favorite — vous n'êtes pas en sécurité. Si votre mot de passe inclut votre prénom, une date de naissance ou un mot du dictionnaire — vous n'êtes pas en sécurité. Et si vous n'utilisez pas de gestionnaire de mots de passe — vous avez probablement des dizaines de comptes avec des mots de passe trop faibles ou réutilisés, sans même le savoir.
Les mots de passe sont la première ligne de défense de votre vie numérique. Pourtant, selon une étude NordPass publiée chaque année, "123456" reste le mot de passe le plus utilisé au monde, suivi de "password" et "azerty" (très populaire en France). Ce guide vous explique pourquoi vos mots de passe actuels sont probablement insuffisants, comment en créer des vraiment solides, et comment un gestionnaire de mots de passe peut transformer radicalement votre sécurité numérique — sans vous compliquer la vie.
Pourquoi vos mots de passe actuels ne suffisent probablement pas
Le problème de la réutilisation
Une étude de Google publiée en 2019 (et toujours très représentative de la réalité actuelle) montrait que 65 % des personnes interrogées utilisaient le même mot de passe sur plusieurs sites. C'est le problème numéro un. Voici pourquoi :
Les sites web sont régulièrement victimes de fuites de données — des bases de données entières contenant des millions d'identifiants et de mots de passe se retrouvent sur le dark web et sur des forums spécialisés. Si votre email et votre mot de passe sont dans l'une de ces fuites (et c'est probable — vérifiez sur haveibeenpwned.com), les pirates vont automatiquement tester ces mêmes identifiants sur des centaines d'autres services : votre banque, Gmail, Amazon, PayPal. C'est la technique dite du credential stuffing — entièrement automatisée.
Si vous utilisez le même mot de passe partout, une seule fuite de données suffit à compromettre l'ensemble de votre vie numérique.
Le problème des mots de passe trop simples
Un mot de passe "simple" peut être craqué en quelques secondes par un ordinateur standard. Pour illustrer concrètement :
| Type de mot de passe | Exemple | Temps pour le craquer |
|---|---|---|
| 6 chiffres | 281095 | Moins d'une seconde |
| 8 lettres minuscules | monchien | Quelques secondes |
| 8 caractères mixtes | Ml4#b2Kq | Quelques heures |
| 12 caractères mixtes | Rq7!mB3@kL9# | Plusieurs siècles |
| Phrase de passe (passphrase) | ChatMange3Souris! | Plusieurs millions d'années |
Estimations basées sur les capacités de calcul actuelles pour une attaque par force brute.
Le problème des informations personnelles
Les pirates ne testent pas uniquement des combinaisons aléatoires. Ils utilisent aussi des techniques de social engineering pour construire des listes de mots de passe probables à partir de vos informations publiques (Facebook, LinkedIn, Instagram) : votre prénom, celui de vos enfants, votre date de naissance, le nom de votre animal de compagnie, votre équipe de foot préférée. Ces dictionnaires personnalisés sont redoutablement efficaces.
Les règles pour créer un mot de passe vraiment sécurisé
Règle 1 : longueur avant tout
L'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) recommande un minimum de 12 caractères pour un compte standard, et 16 caractères ou plus pour les comptes sensibles (messagerie, banque, impôts). Chaque caractère supplémentaire multiplie exponentiellement le temps nécessaire pour craquer le mot de passe.
Règle 2 : mélangez les types de caractères
Un bon mot de passe comprend :
- Des lettres majuscules (A-Z)
- Des lettres minuscules (a-z)
- Des chiffres (0-9)
- Des caractères spéciaux (!, @, #, $, %, ^, &, *, +, =, ?, -, _, …)
Règle 3 : aucun mot du dictionnaire, aucune information personnelle
Evitez tout ce qui se trouve dans un dictionnaire (même en substitution évidente : "p@ssw0rd" est tout aussi vulnérable — les attaques par dictionnaire intègrent ces substitutions). Pas de nom propre, pas de date, pas d'endroit géographique.
Règle 4 : un mot de passe unique par compte
C'est la règle la plus importante. Chaque service doit avoir son propre mot de passe, différent de tous les autres. Si vous en avez des dizaines — c'est précisément pour ça que les gestionnaires de mots de passe existent.
La passphrase : mémorisation + sécurité
Une passphrase est une phrase constituée de plusieurs mots aléatoires mis bout à bout, éventuellement avec des chiffres et des signes de ponctuation. Exemple : Chat!Mouton-Brouette27 ou MonPèreAchetéUneVieille@Moto. Les avantages :
- Plus long qu'un mot de passe classique = exponentiellement plus sûr
- Plus facile à mémoriser qu'une suite de caractères aléatoires
- Résiste aux attaques par dictionnaire (car la combinaison est unique)
L'EFF (Electronic Frontier Foundation) propose un générateur de passphrases par dés (diceware) sur son site, garantissant une vraie aléatoire. La méthode consiste à lancer des dés et à consulter une liste de mots — la combinaison résultante est statistiquement sécurisée.
Le gestionnaire de mots de passe : comment ça fonctionne et pourquoi en utiliser un
Le principe
Un gestionnaire de mots de passe est une application qui stocke tous vos mots de passe dans un coffre-fort numérique chiffré, protégé par un seul mot de passe maître (et idéalement par une authentification à deux facteurs). Vous n'avez plus qu'un seul mot de passe à retenir. Le gestionnaire génère, enregistre et remplit automatiquement vos identifiants sur chaque site.
Le coffre-fort est chiffré avec des algorithmes de cryptographie robustes (AES-256 est la norme). Même si le serveur du prestataire est compromis, les données chiffrées sont inutilisables sans votre mot de passe maître, que le prestataire ne connaît pas (architecture zero-knowledge).
Les gestionnaires de mots de passe à connaître en 2026
Bitwarden (recommandé pour la grande majorité des utilisateurs)
- Open-source : le code est public et audité par la communauté
- Gratuit pour un usage personnel complet (synchronisation illimitée sur tous les appareils)
- Architecture zero-knowledge, hébergement possible sur son propre serveur
- Applications disponibles sur Windows, Mac, Linux, iOS, Android, et extension navigateur
- Régulièrement audité par des cabinets de sécurité indépendants (audit Trail of Bits 2018, cure53 2022…)
1Password
- Payant (environ 3 € par mois pour un usage individuel, 5 € pour un plan famille)
- Interface particulièrement soignée, fonctionnalités avancées (Watchtower qui surveille les fuites, Travel Mode…)
- Très utilisé en entreprise
- Architecture zero-knowledge avec une clé secrète supplémentaire (Secret Key)
Dashlane
- Fondé en France, désormais basé aux États-Unis
- Version gratuite limitée à 25 mots de passe sur un seul appareil
- Version premium (environ 4 € par mois) avec VPN intégré
- Interface très accessible pour les débutants
KeePassXC (pour les utilisateurs avancés qui refusent le cloud)
- Open-source, entièrement local : votre base de données reste sur votre appareil
- Aucune synchronisation automatique (vous pouvez l'assurer vous-même via Dropbox, Nextcloud…)
- Recommandé par l'ANSSI dans ses publications
- Interface moins conviviale mais robustesse maximale
Les gestionnaires intégrés (Apple Passwords, Google Password Manager)
- Pratiques et bien intégrés à leurs écosystèmes respectifs
- Fonctionnent bien si vous restez dans un seul écosystème
- Moins flexibles si vous utilisez des appareils mixtes (iPhone + PC Windows, par exemple)
- Corrects pour un premier pas, moins idéaux pour une sécurité maximale
Choisir son mot de passe maître
Le mot de passe maître est la clé de voûte de toute votre sécurité. S'il est compromis, tout l'est. Quelques règles :
- Utilisez une longue passphrase mémorable mais unique (que vous n'utilisez nulle part ailleurs)
- Ne l'écrivez pas sur un post-it collé sur votre écran
- Activez l'authentification à deux facteurs sur votre gestionnaire de mots de passe
- Notez-le sur papier dans un endroit sûr et physiquement sécurisé (pas en ligne) comme mesure de dernier recours
L'authentification à deux facteurs (2FA) : le complément indispensable
Un mot de passe fort est nécessaire mais insuffisant. L'authentification à deux facteurs (2FA ou MFA) ajoute une couche de sécurité supplémentaire : même si quelqu'un obtient votre mot de passe, il lui faut aussi accéder au second facteur pour se connecter.
Les types de second facteur, du moins au plus sécurisé
1. SMS (le plus répandu, le moins sécurisé) : un code à 6 chiffres vous est envoyé par SMS à chaque connexion. Cette méthode est bien meilleure qu'aucun 2FA, mais elle est vulnérable au SIM swapping (un escroc qui convainc votre opérateur de transférer votre numéro à une autre SIM) et au vishing (voir notre article dédié).
2. Application TOTP (recommandé) : une application génère un code qui change toutes les 30 secondes, sans nécessiter de connexion réseau. Applications recommandées :
- Aegis Authenticator (Android, open-source, fonctionnalités de sauvegarde)
- Raivo OTP (iOS, open-source)
- Google Authenticator ou Microsoft Authenticator (populaires, moins transparents)
- Authy (synchronisation multi-appareils, pratique mais potentiellement moins sûr si votre compte Authy est compromis)
3. Clé de sécurité physique (le plus sécurisé) : une clé USB ou NFC (YubiKey, Google Titan Key) que vous insérez ou approchez de votre appareil. Impossible à hacker à distance. Recommandé pour les comptes très sensibles (messagerie principale, banque). Coût : environ 50 à 80 € pour une YubiKey.
Vérifiez si vous avez déjà été compromis
Le service Have I Been Pwned (haveibeenpwned.com), créé par le chercheur en sécurité Troy Hunt, recense les fuites de données connues. Entrez simplement votre adresse email et le site vous indique dans combien de fuites elle apparaît, et lesquelles. Si votre email y figure, changez les mots de passe des services concernés immédiatement et activez le 2FA.
Des services similaires existent en France : la CNIL propose des ressources sur les fuites de données signalées sur son territoire, et les gestionnaires de mots de passe comme Bitwarden ou 1Password intègrent désormais des fonctions de surveillance des fuites directement dans leur interface.
Les passkeys : le futur sans mot de passe
Une révolution silencieuse est en cours. Les passkeys (clés d'accès) sont un nouveau standard d'authentification développé par l'alliance FIDO (Fast IDentity Online), soutenu par Apple, Google et Microsoft. Au lieu d'un mot de passe, vous vous authentifiez avec votre empreinte digitale, votre visage (Face ID) ou votre code PIN d'appareil. Techniquement, une paire de clés cryptographiques est générée : la clé privée reste sur votre appareil, la clé publique est transmise au service. Aucun mot de passe à mémoriser, aucun à stocker côté serveur, aucun à voler.
En 2026, les passkeys sont déjà disponibles chez de nombreux services majeurs : Google, Apple, Microsoft, Amazon, GitHub, PayPal, et de plus en plus de banques. L'adoption se généralise. Si un site vous propose de créer un passkey, acceptez — c'est plus sécurisé que n'importe quel mot de passe.
Récapitulatif : votre plan d'action en 5 étapes
- Vérifiez vos compromissions sur haveibeenpwned.com et changez les mots de passe des comptes concernés
- Installez un gestionnaire de mots de passe (Bitwarden si vous ne savez pas lequel choisir)
- Créez un mot de passe maître solide sous forme de passphrase (4 mots aléatoires + chiffres + ponctuation)
- Migrez vos comptes importants vers des mots de passe générés et stockés par le gestionnaire, un par un, en commençant par les plus critiques (email, banque, impôts)
- Activez le 2FA sur au moins vos comptes email, banque et réseaux sociaux — avec une application TOTP plutôt que par SMS si possible
Conclusion
La sécurité des mots de passe n'est pas une question de technicité — c'est une question d'hygiène numérique, aussi fondamentale que fermer sa porte à clé en sortant de chez soi. Un gestionnaire de mots de passe résout en une seule installation le problème de la réutilisation, de la faiblesse des mots de passe, et de la mémorisation. L'authentification à deux facteurs complète ce dispositif en rendant vos comptes presque imprenables même si votre mot de passe est compromis. Ces deux outils, combinés, représentent la protection la plus efficace à votre portée — et ils sont pour la plupart gratuits.