● Journal du Net 📅 07/05/2026 à 17:39

Énergie & Environnement 👤 Tomer Bar

🏷️ Tags : rte stoc

Nous utilisons des mots de passe pour prouver notre identité depuis les premiers ordinateurs partagés entre plusieurs utilisateurs. Des décennies plus tard, ils sont toujours là, et sont toujours sources de problèmes. Leur mauvaise réputation n'est pourtant pas vraiment méritée. La majeure partie du risque vient des limites humaines et de nos comportements prévisibles, plutôt que des probabilités mathématiques liées au fait de devoir deviner chaque combinaison possible. À l'occasion du World Password Day, revenons sur un paradoxe souvent sous-estimé : pourquoi des mots de passe considérés comme « forts » peuvent-ils s'avérer plus vulnérables qu'il n'y paraît ? Que font réellement les attaquants les plus aguerris, et comment créer des mots de passe véritablement difficiles à cracker ? On croit volontiers qu'un mot de passe de 10 caractères mélangeant minuscules, majuscules, chiffres et caractères spéciaux génère un nombre astronomique de combinaisons possibles, et qu'il est donc forcément sécurisé. En effet, l'espace de recherche total avoisine les dizaines de quintillions de combinaisons (environ 5,4×10¹⁹). Même en testant un milliard de tentatives par seconde, un attaquant aurait besoin d'environ 1 700 ans pour épuiser l'espace entier par force brute pure. Sur le papier, c'est rassurant. En pratique, c'est trompeur, car très peu de personnes choisissent des mots de passe de 10 caractères vraiment aléatoires. Pour s'en souvenir, on retombe instinctivement sur des schémas prévisibles : une majuscule en début, une ou plusieurs minuscules, puis 1 à 4 chiffres (souvent une année), et un caractère spécial en fin de chaîne. Les cybercriminels chevronnés le savent : Ils ne cherchent pas à tester toutes les combinaisons possibles ; ils s'attaquent à vos habitudes. En se limitant aux schémas de type « humain », le champ des possibilités se réduit à environ 10¹⁴ combinaisons (100 billions). Avec un GPU haut de gamme capable de tester 100 milliards de tentatives par seconde, ce volume s'épuise en quelques minutes, et non plus en plusieurs siècles. D'un point de vue purement mathématique, un mot de passe de 15 caractères véritablement aléatoires est pratiquement impossible à cracker avec les équipements actuels. Si le mot de passe est aléatoire, les chiffres jouent en votre faveur. Mais on revient toujours au même problème : l'humain. Quand les gens créent des mots de passe longs, ils optent rarement pour des chaînes aléatoires. Ils réutilisent des schémas connus, font de légères variations sur d'anciens mots de passe, et préfèrent en général des phrases faciles à retenir plutôt que des chaînes vraiment aléatoires. Les attaquants en tirent parti en croisant ces habitudes avec d'immenses dictionnaires de mots de passe issus de fuites de données, auxquels ils appliquent des règles de transformation, comme l'ajout de l'année en cours, la substitution de lettres par des symboles ou l'ajout de ponctuation, pour deviner rapidement ces mots de passe « mémorisables ». Ils construisent également des rainbow tables : des tables précalculées de hachages de mots de passe. La plupart des systèmes ne stockent pas les mots de passe en clair, seulement leur empreinte chiffrée. Une rainbow table permet à un attaquant de remonter d'un hachage au mot de passe original, à condition que ce dernier figure dans la table, ce qui est souvent le cas, ces tables étant librement téléchargeables en ligne. Si votre mot de passe de 15 caractères s'y trouve, ou s'il en est une variation prévisible, la longueur ne vous protégera pas. Il tombera en quelques secondes. Les mots de passe sont-ils encore utiles aujourd'hui ? Oui, mais ils ne suffisent plus à eux seuls. L'authentification multifacteur (MFA) devrait être activée partout où cela est possible, car elle rend les mots de passe volés ou devinés bien moins exploitables. Si vous continuez à utiliser des mots de passe, la meilleure approche est simple : arrêtez de les laisser concevoir par des humains. Utilisez un gestionnaire de mots de passe pour générer et stocker des mots de passe longs et véritablement aléatoires (20 caractères minimum), sans jamais les réutiliser. Activez la MFA partout où c'est possible. Et pour les rares mots de passe que vous devez mémoriser, misez sur des passphrases longues et uniques, composées de mots aléatoires, pas de paroles de chansons, de citations ou autre schéma mémorisable. L'objectif n'est pas la perfection : c'est de rendre l'attaque suffisamment difficile et peu rentable pour que les attaquants aillent voir ailleurs.

🔗 Lire l'article original 👁️ 1 lecture