Personne entrant un mot de passe pour se connecter à une application sur son téléphone.

Sensibilisation à la cybersécurité

Comment créer un mot de passe solide

18 octobre 2023 · 17 min de lecture

Votre mot de passe contient « 1234 » ? Vous pensez que le nom de votre passe-temps favori, de votre partenaire ou de votre animal est un mot de passe facile à retenir et difficile à cracker ? Nous l’avons tous fait. Nous vivons dans un monde où tout va vite. Nous cherchons donc à créer des mots de passe solides, faciles à retenir et sécurisés, mais nous n’avons pas le temps d’inventer des variantes longues et compliquées…  et encore moins de les mémoriser.

En moyenne, chacun de nous possède environ 100 mots de passe pour protéger ses différents comptes en ligne. Rien d’étonnant, donc, à ce que nous réutilisions toujours les mêmes et ayons du mal à trouver d’autres idées plus originales. Malgré tous nos efforts, nous sommes plus prévisibles que nous ne le croyons. Le dernier Rapport d’investigations sur les violations de données publié par Verizon montre que 86 % des violations de données proviennent, à l’origine, d’un vol d’identifiants.

Malgré ces statistiques inquiétantes, on peut affirmer, sans le moindre doute, que presque tout le monde connaît l’importance d’un mot de passe sécurisé. Mais nombreux sont ceux qui ont du mal à passer de la théorie à la pratique lorsqu’il s’agit d’inventer un code complexe et inviolable. « DanieletMarie76 », est-ce plus difficile à cracker que « hgYhy23 » ? Est-ce dangereux d’utiliser le même mot de passe pour différents comptes ? Poursuivez votre lecture pour savoir quels sont les critères d’un bon mot de passe et comment en créer un qui soit à la fois solide et facile à retenir sans vous torturer les méninges.

Écran d’ordinateur portable avec identifiants d’accès masqués, avec un pouce vers le haut et un pouce vers le bas qui symbolisent la force ou la faiblesse du mot de passe.

Quelques conseils pour créer un mot de passe sécurisé

Garantir la sécurité de sa présence en ligne n’est pas une mince affaire, en particulier lorsqu’il s’agit de créer un mot de passe qui résiste aux assauts. Voici quelques règles à respecter pour créer un mot de passe qui sécurise votre univers numérique :

Conseil no 1 : choisissez un mot de passe avec au moins 12 caractères

Plus votre mot de passe est long et complexe, plus les individus malintentionnés auront du mal à le deviner ou à le cracker par force brute. Un mot de passe qui ne comporte que quelques caractères peut être décodé assez rapidement, même s’il comprend des caractères spéciaux, des chiffres et des majuscules. En revanche, s’il compte au moins 12 caractères, le nombre de combinaisons possibles augmente de manière exponentielle. Un hacker aura donc plus de difficultés à le deviner ou à le cracker. Pour encore plus de sécurité, nous vous conseillons d’aller au-delà des 12 caractères : vous réduirez ainsi les risques de piratage et protégerez plus efficacement encore vos informations à caractère personnel, vos actifs numériques et votre vie privée.

Vous n’arrivez pas à trouver un bon mot de passe ? Les gestionnaires de mot de passe comme 1Password, LastPass ou Dashlene peuvent vous aider à générer des mots de passe sécurisés avec le nombre de caractères que vous souhaitez. Certains gestionnaires de mot de passe proposent aussi gratuitement des générateurs de mot de passe en ligne que vous pouvez utiliser pour encore plus de sécurité.   

Conseil no 2 : évitez les chiffres ou les lettres qui se suivent

Évitez les séries de lettres ou de chiffres du type « 123456 » ou « abcdef ». Ces schémas faciles à deviner réduisent nettement la complexité, et donc la sécurité, de votre mot de passe. Ce sont les premières combinaisons qu’un attaquant va tester lorsqu’il tentera une attaque par dictionnaire ou par force brute pour cracker votre mot de passe. Ces séries de caractères sont pré-programmées dans les algorithmes de beaucoup d’outils de piratage automatisés, de sorte qu’un mot de passe qui contient ces schémas ne leur résiste pas longtemps.

Conseil no 3 : utilisez une combinaison de lettres majuscules et minuscules, de chiffres et de symboles

Créez un mot de passe en béton en mélangeant des majuscules, des minuscules, des chiffres et des symboles. De la même manière que plus un mot de passe est long, plus le nombre de combinaisons possibles est élevé, le fait d’intégrer différents types de caractères complique encore la tâche pour les hackers.

Conseil no 4 : n’utilisez pas de noms propres ni de mots du dictionnaire

L’utilisation de noms ou de mots répertoriés dans le dictionnaire peut gravement compromettre la sécurité de votre mot de passe. En effet, l’une des méthodes les plus fréquentes utilisées par les cybercriminels pour cracker les mots de passe est l’attaque par dictionnaire. Ce type d’attaque par force brute teste systématiquement, à l’aide d’un programme, tous les mots d’un dictionnaire ou d’une liste de mots de passe fréquents pour essayer de deviner et de cracker votre mot de passe. S’il contient ces mots ou ces noms courants, il est plus vulnérable à ce type d’attaques.

Conseil no 5 : n’utilisez pas d’informations personnelles, surtout si elles sont disponibles en ligne

Dans le monde interconnecté dans lequel nous vivons, les hackers ont toujours une longueur d’avance. Comme nous, ils savent manier la technologie et les réseaux sociaux à leur avantage. Ils sont capables d’exploiter vos communications publiques, vos posts, vos tweets et tous les autres détails que vous partagez, sauf si vous les publiez en mode privé. Ces espaces numériques sont de véritables mines d’informations vous concernant. Ils permettent notamment de connaître votre profession, vos loisirs, les noms de vos proches et même celui de votre animal. Vos mots de passe sont la base de votre sécurité en ligne. S’ils comportent l’une ou l’autre de ces données, vos comptes en ligne seront exposés au vu et au su de tout le monde. N’oubliez jamais que votre empreinte numérique a de nombreuses ramifications et va bien plus loin que ce que vous pensez. Et si elle est placée au grand jour, n’importe qui peut y accéder et l’exploiter.

Conseil no 6 : ne réutilisez pas plusieurs fois le même mot de passe

Réutiliser un même mot de passe sur plusieurs plateformes, c’est prendre un grand risque en matière de sécurité. En effet, si l’un de vos comptes est compromis lors d’une violation de données, les cybercriminels testeront probablement le même couple identifiant/mot de passe sur d’autres plateformes. Malheureusement, cette pratique, connue sous le nom de « credential stuffing » ou « bourrage d’identifiants », s’est avérée redoutablement efficace lors d’attaques récentes, telles que celle qui a affecté quelque 35 000 comptes PayPal.  

Conseil no 7 : utilisez l’authentification multifacteur

L’authentification multifacteur (MFA) ajoute une protection supplémentaire, en plus de l’identifiant et du mot de passe. Même si un attaquant parvient à dérober ou à deviner votre mot de passe, il devra ensuite contourner l’obstacle de la MFA avant de pouvoir accéder à votre compte. Pour mettre en place ce bouclier additionnel, vous pouvez choisir un élément que vous connaissez comme un mot de passe, que vous possédez comme des jetons physiques ou des données biométriques comme des empreintes digitales ou une identification faciale. Plus vous mettez en place de facteurs pour confirmer votre identité, plus il sera difficile pour une personne malintentionnée de forcer l’accès.  

L’authentification MFA peut aussi s’avérer très utile lorsqu’il s’agit de détecter des tentatives d’accès non autorisé. Si vous recevez un SMS contenant un code de vérification alors que vous n’êtes pas en train de vous connecter à votre compte, c’est la preuve que quelqu’un d’autre est en train de le faire. Vous pouvez alors réagir immédiatement : par exemple, changer votre mot de passe, activer des mesures de protection supplémentaires ou contacter le support technique de la plateforme pour signaler la tentative d’intrusion. 

Les mots de passe les plus fréquents

Dans un monde virtuel où les cybercriminels ont recours à des méthodes de plus en plus sophistiquées, un mot de passe facile à deviner est comme une porte d’entrée laissée grande ouverte.

Beaucoup d’utilisateurs pensent créer des mots de passe originaux, uniques et sécurisés. Et pourtant, aussi étonnant que cela puisse paraître, nous avons tous tendance à reproduire les mêmes schémas et notre choix de mot de passe est loin d’être différent de celui des autres. Résultat des courses : des mots de passe qui semblaient à première vue uniques finissent par être aussi communs que « 123456 » ou « motdepasse » et deviennent une proie facile pour les cybercriminels. Une telle simplicité d’accès permet à d’éventuels intrus de s’infiltrer dans les comptes personnels en quelques secondes et souligne l’urgence d’une plus grande vigilance et de meilleures pratiques en matière de mots de passe. Vous trouverez ci-dessous les 20 mots de passe les plus fréquemment utilisés en France en 2023. Si le vôtre se trouve dans la liste, il est plus qu’urgent d’en changer.

Top 20 des mots de passe les plus fréquemment utilisés en France en 2023

En combien de temps les hackers peuvent-ils deviner votre mot de passe ?

Le délai nécessaire pour cracker un mot de passe peut être très variable. Il dépend de plusieurs facteurs, allant de la complexité du code à la méthode de chiffrement utilisée, en passant par la technologie, les ressources et les outils dont disposent les attaquants.

Longueur et complexité du mot de passe

La longueur et la complexité d’un mot de passe déterminent directement sa vulnérabilité. Face à des mots de passe longs et complexes, les pirates sont forcés de tester un plus grand nombre de combinaisons possibles. Cependant, à la vitesse à laquelle les innovations technologiques se multiplient, le vent tourne et la balance penche désormais plutôt en faveur des hackers.

Prenons, par exemple, un mot de passe de huit caractères avec des minuscules et des majuscules. En 2020, il fallait environ 22 minutes pour cracker ce type de mot de passe.Aujourd’hui, en 2023, il faut à peine 28 secondes. Le message est clair : plus le temps passe, plus les attaquants sont capables de prouesses pour casser nos mécanismes de défense. L’heure tourne à l’horloge du numérique. Aujourd’hui, augmenter la complexité de nos mots de passe n’est plus une simple mesure de précaution : c’est devenu indispensable pour contrecarrer les progrès inexorables des hackers.

La boîte à outils des hackers

Dans le contexte à forts enjeux qu’est la cybersécurité, la vitesse à laquelle un hacker est capable de décoder un mot de passe dépend fortement des outils technologiques et des ressources à sa disposition. La cybercriminalité ne cesse de se perfectionner et les hackers s’équipent constamment de logiciels et de matériel de pointe en vue de cracker les mots de passe plus vite. Ces outils peuvent lancer des attaques par force brute ou par dictionnaire à une vitesse fulgurante et passer au crible un nombre effarant de mots de passe potentiels en un clin d’œil.

Ces derniers temps, l’outil le plus populaire parmi les cyberattaquants est, sans conteste, ChatGPT. Les prouesses de ce générateur de texte sont une véritable aubaine pour les cybercriminels puisqu’il est capable de créer d’innombrables combinaisons d’identifiants et de mots de passe pouvant être utilisées pour les attaques par force brute. La technologie de ChatGPT a dramatiquement contribué à réduire le délai nécessaire pour cracker un mot de passe, le ramenant souvent même à quelques secondes seulement. Imaginez un mot de passe de 9 caractères, avec des chiffres, des minuscules et des majuscules. Autrefois, le cracker aurait été un travail de titan. Aujourd’hui, avec ChatGPT, 21 secondes suffisent.

Tableau montrant la vitesse avec laquelle les hackers peuvent cracker un mot de passe par force brute en 2023, en utilisant ChatGPT.

Facile à deviner ou pas ? Comment savoir si un mot de passe est fort ?

Maintenant que vous connaissez quelques astuces pour naviguer de manière un peu plus sûre sur le Net et que vous savez à quelle rapidité les hackers peuvent cracker un mot de passe faible, vous vous demandez peut-être à quoi ressemble un mot de passe solide. Pour vous aider à y voir clair, nous avons répertorié ci-dessous quelques exemples de mots de passe forts et d’autres plus faibles. Vous aurez ainsi une idée des différents degrés de protection qu’ils peuvent offrir.

Mot de passe Niveau de sécurité Pourquoi ? 
ird2yyzRbHXkV}xXqm3RX*F-oWX2,}   Maximum Plus de 12 caractères. Contient des caractères spéciaux, des chiffres, des minuscules et des majuscules.  Aucune série de chiffres et de lettres consécutifs.  Aucun mot du dictionnaire. 
mnYIW2ZZWhg96HnUHpYj Élevé Ne contient pas de caractères spéciaux. 
taxggkwuj6vt Intermédiaire Ne contient pas de majuscules ni de caractères spéciaux. 
@Thomas42 Faible Contient des mots du dictionnaire.  Moins de 12 caractères. 
abc12345 Minimum Moins de 12 caractères.  Ne contient pas de majuscules ni de caractères spéciaux.  Série de chiffres et de lettres consécutifs 

Retenir des mots de passe sécurisés : les meilleures pratiques

Soyons pratiques : la principale raison pour laquelle nous évitons les mots de passe longs et complexes, bien que nous les sachions plus sûrs, est que nous avons du mal à les retenir. Il existe pourtant quelques techniques pour vous y aider.

L’une d’elles consiste à utiliser, à bon escient, des schémas et des substitutions pour créer des mots de passe sécurisés qui sont faciles à mémoriser. Commencez par choisir une phrase ou une citation qui vous parle particulièrement et dont vous êtes sûr·e de vous souvenir. Prenez la première lettre de chaque mot pour former la base de votre mot de passe. Imaginons, par exemple, que vous aimiez la citation de Saint-Exupéry : « On ne voit bien qu’avec le cœur. L’essentiel est invisible pour les yeux. ». La base de votre mot de passe sera alors « OnvbqalcLeeipy ». Pour le rendre encore plus complexe, remplacez certaines lettres par des symboles ou des chiffres qui leur ressemblent. Vous pouvez, par exemple, remplacer le « a » par un @, le « l » minuscule par un 1 et le « i » par un « ! », ce qui vous donnera « Onvbq@1cLee!py ». Pour augmenter encore la difficulté, ajoutez quelques chiffres qui ont un sens pour vous. Par exemple, la page du Petit prince où vous avez trouvé la citation. Au final, votre mot de passe sera : « Onvbq@1cLee!py47 ».

Si vous avez peur, malgré tout, de ne pas vous souvenir de vos mots de passe, essayez d’utiliser un gestionnaire de mots de passe. Vous n’aurez alors plus qu’à retenir un mot de passe principal qui vous donnera accès à tous vos autres mots de passe, en un seul clic. Ces outils sauvegardent vos mots de passe de manière sécurisée et vous permettent d’accéder à vos comptes en toute simplicité par le biais d’un mot de passe principal ou d’une authentification biométrique. Non seulement, ils vous font gagner du temps et vous dispensent de l’effort de mémorisation, mais ils proposent aussi d’autres fonctionnalités utiles, telles que des générateurs de mots de passe qui créent des mots de passe uniques et solides, et une fonction de détection qui vous alerte en cas de violation de mot de passe et de compromission d’un de vos comptes. Pensez à utiliser votre mot de passe principal régulièrement pour entraîner votre mémoire et ne pas risquer de l’oublier.

Comment éviter les tentatives de piratage

Les hackers ont aujourd’hui à leur disposition un vaste éventail de méthodes pour se procurer nos informations de connexion, et ils ne cessent de l’enrichir. Des pratiques qui ont toujours eu cours comme l’écoute clandestine dans les espaces publics aux techniques plus sophistiquées utilisant de puissants outils informatiques pour les attaques par force brute, les cyberattaquants ne cessent de se perfectionner. C’est en connaissant mieux leurs tactiques que nous saurons comment protéger notre identité numérique et renforcer notre sécurité en ligne.

Phishing : ne communiquez jamais vos mots de passe

Le phishing et l’ingénierie sociale sont les méthodes favorites des hackers pour se procurer vos informations de connexion. En instillant un sentiment de peur, d’urgence ou en utilisant l’autorité, ils vous manipulent pour vous amener à saisir votre identifiant et votre mot de passe. Ceci fait, ils peuvent les utiliser pour de multiples activités : fraude financière, usurpation d’identité et bourrage d’identifiants.

Ne l’oubliez jamais : les techniques de phishing ne se limitent pas aux e-mails. Les cybercriminels se plaisent à utiliser des moyens de communication variés, que ce soit des SMS, des messages apparemment inoffensifs dans les applications de chat, voire des appels téléphoniques.

Attaques par force brute : comment se prémunir

Les attaques par force brute tirent parti de la vulnérabilité de mots de passe courts, faibles et faciles à deviner. Les criminels essayent systématiquement de nombreuses combinaisons à l’aide de systèmes automatiques. Vous pouvez cependant prendre quelques mesures efficaces pour vous protéger contre ce type de hackage par force brute : 

  • Utilisez un mot de passe fort en suivant les conseils mentionnés plus haut dans cet article.
  • Utilisez l’authentification multifacteur (MFA). Ainsi, même si des pirates parviennent à se procurer vos informations de connexion, ils ne pourront pas accéder jusqu’à votre compte sans le second facteur d’authentification.
  • Restreignez le nombre de tentatives incorrectes de connexion autorisées pour l’accès au compte.
  • Demandez à vos employés d’utiliser un CAPTCHA pour ajouter une protection supplémentaire.
  • Utilisez des listes de rejet d’adresses IP pour identifier et bloquer les sources d’activités malintentionnées.
  • Pensez à mettre à jour vos logiciels pour éviter que les hackers n’exploitent d’éventuelles vulnérabilités.

Restez sur vos gardes dans les espaces publics

Les lieux publics sont un terrain de chasse qui rapporte gros aux cybercriminels. Étant donné le très grand nombre de personnes et d’appareils qui se connectent sur Internet, le risque d’être l’objet d’activités malveillantes est décuplé, surtout si l’on utilise les réseaux publics. Les réseaux non sécurisés, notamment ceux qui ne sont pas protégés par un mot de passe, augmentent le danger. Lorsque vous vous connectez, par exemple, au Wi-Fi gratuit d’un aéroport ou d’un café, il est indispensable d’utiliser un VPN (Virtual Private Network) pour protéger vos identifiants de connexion des personnes indiscrètes.

Ne vous contentez pas de protéger vos activités en ligne, soyez aussi vigilant·e vis-à-vis des techniques vieilles comme le monde, mais qui fonctionnent toujours. Les méthodes simples, mais efficaces comme le « shoulder surfing », qui consiste, pour les fraudeurs, à regarder votre écran pendant que vous saisissez vos informations, restent des dangers réels. Limitez les risques en utilisant des filtres de confidentialité qui empêchent les curieux de voir vos données sensibles.

Échec et mat pour les tentatives de phishing

S'inscrire

Découvrez comment nos simulations de phishing peuvent transformer vos employés en défenseurs actifs de votre enterprise.

Passez le message dans votre entreprise : augmentez la sécurité des mots de passe et protégez-vous des vols d’identifiants

En suivant les conseils pour créer de bons mots de passe, par exemple en inventant des codes longs, complexes et comportant plusieurs types de caractères, vous sécurisez davantage vos comptes. Mais, dans un contexte où les menaces cyber sont en perpétuelle évolution, les hackers ne cessent de renforcer leur arsenal. Il faut donc que les bonnes pratiques pour créer des mots de passe robustes évoluent aussi en conséquence. Un mot de passe qui était sûr hier, peut être facile à cracker aujourd’hui, d’où l’importance de suivre des formations continues de sensibilisation à la cybersécurité.

Les modules de formation de SoSafe consacrés à la création d’un mot de passe solide sont adaptés aux besoins de vos employés. Ils sont constamment mis à jour en fonction des dernières actualités et tendances du secteur de la cybersécurité. De plus, la fonctionnalité Content Management de notre plateforme d’apprentissage est un outil efficace qui permet de partager votre politique en matière de mot de passe avec vos employés et de suivre la façon dont ils l’adoptent. Vous renforcez ainsi les cyberdéfenses de votre société.

Cyber Security Awareness Blog