Sécurité des mots de passe 2026

Pourquoi ton mot de passe à 12 caractères ne suffit plus vraiment

Tu as suivi les conseils. Tu as créé un mot de passe avec des majuscules, des chiffres, un symbole ou deux. Douze caractères bien tassés. Et tu t’es dit que tu étais tranquille. Mauvaise nouvelle : pourquoi ton mot de passe à 12 caractères ne suffit plus est une question que beaucoup évitent de se poser, précisément parce que la réponse est inconfortable. Les règles que tu as apprises il y a dix ans ne correspondent plus à la réalité des attaques actuelles. Les machines sont plus rapides, les méthodes plus intelligentes, et les criminels bien plus organisés qu’on ne le croit.

Ce n’est pas une raison de paniquer. C’est une raison de comprendre. Parce qu’une fois qu’on saisit vraiment ce qui se passe derrière une tentative d’intrusion, les bons réflexes deviennent évidents. On va donc décortiquer ensemble les mythes, les réalités techniques et les solutions concrètes, sans te vendre un produit miracle au passage.

Ce que les études récentes nous disent sur les mots de passe piratés

Commençons par les faits. Une étude menée par Specops, relayée notamment par Clubic, a analysé des millions de mots de passe compromis et en a tiré une conclusion qui bouscule les idées reçues : la longueur seule ne protège pas. La majorité des mots de passe piratés faisait certes moins de 12 caractères, mais une part non négligeable dépassait ce seuil. Autrement dit, un mot de passe long mais prévisible reste une cible facile.

Ce constat rejoint les données de Verizon, qui indique dans son rapport annuel sur les violations de données que 86 % des brèches impliquent un vol d’identifiants. Pas une faille technique sophistiquée. Pas un virus de science-fiction. Juste un mot de passe récupéré, deviné ou acheté sur un forum clandestin. La menace est donc bien plus banale que ce qu’Hollywood nous montre.

Alors pourquoi continue-t-on à penser que 12 caractères suffisent ? Parce que cette règle a été formulée à une époque où les processeurs étaient bien moins puissants, où les bases de données de mots de passe compromis n’existaient pas à l’échelle actuelle, et où les attaques par force brute étaient lentes et coûteuses. Ces trois conditions ont radicalement changé.

Les trois types d’attaques qui rendent tes mots de passe vulnérables

Pour comprendre pourquoi la longueur ne suffit pas, il faut comprendre comment on casse un mot de passe. Il n’y a pas un seul type d’attaque, il y en a plusieurs, et chacune exploite une faiblesse différente.

La force brute : l’attaque du marteau-piqueur

La force brute, c’est l’idée de tester toutes les combinaisons possibles jusqu’à trouver la bonne. Imagine un cadenas à 4 chiffres : tu essaies 0000, 0001, 0002… jusqu’à 9999. Ça prend du temps, mais c’est infaillible. Avec les cartes graphiques modernes (les GPU, initialement conçues pour les jeux vidéo), il est possible de tester des milliards de combinaisons par seconde. Un mot de passe de 8 caractères composé uniquement de minuscules peut être cracké en quelques minutes. À 12 caractères avec un mélange de tout, ça prend plus de temps, mais les machines s’améliorent chaque année.

L’attaque par dictionnaire : l’intelligence plutôt que la brute force

C’est là que ça devient intéressant. Plutôt que de tester toutes les combinaisons, une attaque par dictionnaire s’appuie sur des listes de mots de passe réels, déjà utilisés, déjà compromis. Ces listes contiennent des millions d’entrées : password123, MonChat2019!, Soleil@75. Si ton mot de passe ressemble à quelque chose qu’un humain aurait naturellement inventé, il y a de bonnes chances qu’il soit dans cette liste.

C’est exactement pour cette raison que la CNIL recommande de ne pas utiliser d’informations personnelles dans tes mots de passe. Ton prénom, ta date de naissance, le nom de ton chat, ta ville : tout ça se retrouve dans les dictionnaires des attaquants, parfois enrichis par les données que tu as toi-même publiées sur les réseaux sociaux.

Le credential stuffing : recycler ce qui a déjà fuité

Troisième type d’attaque, et sans doute le plus redoutable aujourd’hui : le credential stuffing. Le principe est simple. Des milliers de bases de données ont été piratées ces dernières années (LinkedIn, Adobe, Yahoo, et des dizaines d’autres). Les mots de passe de ces bases circulent librement sur le dark web. Si tu utilises le même mot de passe sur plusieurs services, il suffit qu’un seul soit compromis pour que tous les autres soient exposés.

Ici, la longueur et la complexité du mot de passe n’ont aucune importance. Le mot de passe est déjà connu. C’est comme changer la serrure de ta maison alors que le cambrioleur a déjà une copie de ta clé.

Le paradoxe de la complexité : quand les règles créent les problèmes

Il y a quelque chose de profondément ironique dans l’histoire des mots de passe. Les règles de sécurité traditionnelles, imposées pendant des années par les entreprises et les administrations, ont souvent aggravé le problème qu’elles cherchaient à résoudre.

On t’a demandé d’utiliser une majuscule, un chiffre, un caractère spécial, et de changer ton mot de passe tous les trois mois. Résultat prévisible : les gens ont créé des mots de passe facilement devinables (Printemps2026! suivi de Ete2026!) et les ont notés sur des post-it collés à leur écran. La contrainte a engendré le contournement.

Ce problème est d’autant plus aigu que, selon les estimations, un utilisateur moyen gère environ 100 comptes différents. Cent mots de passe. Personne n’est capable de mémoriser cent mots de passe complexes et uniques. Alors on simplifie, on recycle, on adapte légèrement. Et c’est précisément là que la sécurité s’effondre.

Le guide de Next.ink sur le choix d’un bon mot de passe souligne bien ce paradoxe : les utilisateurs ne sont pas stupides, ils font face à des injonctions contradictoires. On leur demande de la complexité tout en supposant qu’ils vont tout mémoriser. C’est une équation impossible sans outil adapté.

Ce que recommandent réellement les autorités françaises en 2026

Les recommandations officielles ont évolué. Et c’est une bonne nouvelle, parce qu’elles reflètent enfin la réalité des usages et des menaces.

La CNIL, dans ses conseils pour un bon mot de passe, insiste sur plusieurs points souvent mal compris. Elle préconise des mots de passe longs, aléatoires et uniques pour chaque service. Pas juste longs. Pas juste complexes. Les trois à la fois. Et surtout, elle reconnaît implicitement qu’un être humain seul ne peut pas gérer ça sans outil.

Du côté de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), qui publie ses recommandations via le portail MonServiceSécurisé, le discours est clair : il faut fixer des contraintes de longueur minimale significativement au-dessus de 8 caractères, mais surtout combiner ça avec une vérification que le mot de passe choisi ne figure pas dans les listes de mots de passe compromis connus. C’est une approche bien plus intelligente que de simplement compter les caractères.

Ce changement de paradigme est important. On passe d’une logique de complexité formelle (une majuscule, un chiffre, un symbole) à une logique d’entropie réelle (à quel point ce mot de passe est-il imprévisible pour une machine ?). Ce n’est pas la même chose. Un mot de passe de 20 caractères composé d’une phrase mémorable (MonChienMangeDuRiz) peut être bien plus fort qu’un mot de passe de 10 caractères pseudo-aléatoires si la phrase ne figure dans aucun dictionnaire connu.

Les vraies solutions : ce qui fonctionne concrètement

Assez de diagnostic. Voilà ce qui marche vraiment, sans blabla inutile et sans te demander de devenir un expert en cryptographie.

Utiliser un gestionnaire de mots de passe

C’est la recommandation numéro un de tous les experts sérieux, et il faut arrêter d’avoir peur de la franchir. Un gestionnaire de mots de passe génère pour chaque compte un mot de passe long, aléatoire et unique, il le stocke de façon chiffrée, et il le saisit automatiquement à ta place. Tu n’as plus qu’un seul mot de passe à retenir : celui du gestionnaire lui-même.

Les options open source comme Bitwarden ou KeePassXC permettent même d’auto-héberger ta base de mots de passe si tu veux garder le contrôle total de tes données. C’est exactement le genre de solution qu’on défend ici sur L’Erreur 200 : reprendre la main sur ton infrastructure numérique plutôt que de déléguer ta sécurité à un tiers opaque.

Activer l’authentification à deux facteurs (2FA)

Le mot de passe seul, même excellent, reste une protection à facteur unique. Si quelqu’un le récupère, il entre. Le deuxième facteur d’authentification ajoute une couche : même avec le bon mot de passe, l’attaquant a besoin d’un code temporaire généré par ton téléphone ou une clé physique. C’est le principe de la double vérification que ta banque impose déjà pour les virements. Applique-le partout où c’est possible, en priorité sur ta messagerie et ton gestionnaire de mots de passe.

Préfère une application comme Aegis (sur Android) ou Raivo (sur iOS) à un SMS, qui reste vulnérable aux attaques par substitution de carte SIM (SIM swapping).

Adopter les phrases de passe pour les mots de passe mémorisables

Quand tu dois vraiment mémoriser un mot de passe (le mot de passe maître de ton gestionnaire, par exemple), la phrase de passe est ton alliée. Plutôt qu’un mot de passe court et complexe comme X7!kP@2q, choisis quatre ou cinq mots totalement aléatoires enchaînés : cheval-lampe-oiseau-glacier-sodium. C’est plus long, donc mathématiquement plus difficile à craquer, et bien plus facile à mémoriser.

La méthode Diceware, qui consiste à tirer des mots au sort avec des dés dans une liste standardisée, est reconnue par les cryptographes comme l’une des meilleures façons de générer des phrases de passe vraiment aléatoires. Pas besoin d’outil numérique pour ça.

Vérifier si tes données ont déjà fuité

Avant même de changer tes habitudes pour l’avenir, vérifie le présent. Le site Have I Been Pwned te permet de vérifier si ton adresse email a été compromise dans une fuite de données connue. Si c’est le cas, tous les mots de passe associés à cette adresse doivent être considérés comme compromis, même s’ils étaient techniquement solides.

• Utilise un gestionnaire de mots de passe pour tous tes comptes.
• Active le 2FA sur tous les services qui le proposent.
• Ne réutilise jamais un mot de passe, même légèrement modifié.
• Opte pour des phrases de passe longues quand tu dois mémoriser.
• Vérifie régulièrement si ton email a fuité sur Have I Been Pwned.
• Méfie-toi des questions de sécurité : elles sont souvent plus faciles à deviner que ton mot de passe.

L’horizon qui arrive : passkeys et authentification sans mot de passe

Il faut aussi parler de l’avenir proche, parce qu’il change radicalement la donne. Les passkeys, ou clés d’accès, sont une technologie portée par les grands acteurs du web (Apple, Google, Microsoft) et standardisée par le consortium FIDO Alliance. Le principe : ton appareil génère une paire de clés cryptographiques. Une clé publique est enregistrée sur le serveur du service. Une clé privée reste sur ton appareil, protégée par ton empreinte digitale ou ton code PIN local. Il n’y a plus de mot de passe à transmettre, donc plus de mot de passe à voler.

C’est une avancée réelle. Mais elle soulève des questions légitimes du point de vue de la souveraineté numérique. Si tes passkeys sont synchronisées dans le cloud d’Apple ou de Google, tu dépends de ces écosystèmes. Des solutions open source comme Bitwarden commencent à intégrer la gestion des passkeys pour offrir une alternative indépendante, ce qui est encourageant.

En attendant que les passkeys soient universellement adoptés, et c’est encore loin d’être le cas, pourquoi ton mot de passe à 12 caractères ne suffit plus reste une question d’actualité brûlante. La transition prendra des années, et les attaques sur les mots de passe traditionnels continueront pendant toute cette période.

L’enjeu de la sécurité des mots de passe, c’est finalement un enjeu de souveraineté personnelle. Qui contrôle l’accès à tes comptes ? Qui décide des règles ? Si tu délègues aveuglément cette décision à une interface qui te dit « mot de passe trop court » sans t’expliquer pourquoi, tu subis la sécurité. Si tu comprends les mécanismes, tu peux faire des choix éclairés, adapter ta stratégie, et construire une hygiène numérique qui résiste dans le temps.

Les outils existent. Les connaissances sont accessibles. Ce qui manque, c’est souvent juste un peu de temps pour comprendre ce qu’on fait vraiment quand on tape ces quelques caractères dans un champ de formulaire.

Ce qu’il faut retenir sans se noyer dans les détails

La sécurité par les mots de passe n’est pas morte, mais elle a profondément changé. Les règles apprises il y a dix ans sont dépassées, non pas parce qu’elles étaient fausses, mais parce que les attaquants ont évolué plus vite que les recommandations grand public.

Résumons les points essentiels :

1. La longueur seule ne protège pas si le mot de passe reste prévisible ou réutilisé.
2. 86 % des violations passent par des identifiants volés, pas par des attaques techniques sophistiquées.
3. Les attaques par dictionnaire exploitent les schémas humains : substitutions de lettres, informations personnelles, structures courantes.
4. Un gestionnaire de mots de passe est la solution la plus pragmatique pour gérer des dizaines de comptes sécurisés.
5. Le 2FA est non négociable sur tous les comptes importants.
6. Les passkeys sont l’avenir, mais la transition est lente.

Tu n’as pas besoin de tout changer en une journée. Commence par les comptes les plus sensibles : ta messagerie principale, ton gestionnaire de mots de passe si tu en as déjà un, ton compte bancaire. Chaque compte sécurisé correctement est une victoire concrète sur les attaquants. Et sur la dépendance à des pratiques qui ne te protègent plus vraiment.

Parce que la souveraineté numérique, ça commence aussi par là : comprendre ce qui garde vraiment la porte fermée.