Votre mot de passe est-il vraiment solide ? Ce que signifie vraiment un mot de passe fort
📷 Unsplash / PexelsVotre mot de passe est-il vraiment solide ? Ce que signifie vraiment un mot de passe fort
Un guide pratique pour comprendre la solidite des mots de passe — entropie, temps de craquage, et pourquoi votre mot de passe favori est probablement plus faible que vous ne le pensez.
La verite derangeante sur vos mots de passe
Vous avez probablement un mot de passe que vous considerez comme votre mot de passe "securise". Peut-etre quelque chose comme P@ssw0rd2024! ou MyDogRex#1. Une majuscule, quelques symboles, un chiffre par-ci par-la. La plupart des indicateurs de mot de passe des sites web vous ont probablement affiche une barre verte.
Voici le probleme — ces mots de passe ne sont pas aussi forts que vous le pensez. En fait, P@ssw0rd apparait dans pratiquement tous les dictionnaires d'attaques de credential stuffing parce qu'il a ete expose dans des fuites de donnees des milliers de fois. La substitution @ pour a est si courante que les outils de craquage la testent automatiquement. Le point d'exclamation a la fin ? Meme chose.
Cela ne veut pas dire que vous etes nul pour creer des mots de passe. Cela signifie que la facon dont la plupart d'entre nous ont appris a creer des mots de passe — ajouter une majuscule, remplacer une voyelle par un symbole, coller un chiffre — est exactement ce que les attaquants ont appris a exploiter. La vraie solidite d'un mot de passe est bien plus interessante et contre-intuitive.
Ce que "fort" signifie vraiment
Quand les professionnels de la securite parlent de solidite des mots de passe, ils posent en realite une seule question : combien de temps un attaquant mettrait-il a deviner ce mot de passe ?
Pas deviner en tapant manuellement. Le materiel moderne de craquage de mots de passe peut tester des milliards de combinaisons par seconde. Un cluster GPU concu pour le craquage peut parcourir l'espace entier des mots de passe de 8 caracteres avec des jeux de caracteres courants en quelques heures. La question n'est pas de savoir si quelqu'un peut craquer votre mot de passe — c'est de savoir si cela prendrait plus longtemps qu'une vie humaine (ou idealement, plus que l'age de l'univers).
La solidite d'un mot de passe depend de deux choses :
- La taille du pool de caracteres — combien de caracteres possibles peuvent apparaitre a chaque position
- La longueur — combien de positions il y a
C'est tout. Majuscules, symboles, pas de mots du dictionnaire — tout cela n'est qu'un proxy pour ces deux facteurs.
Un mot de passe de 12 caracteres en minuscules uniquement a 26^12 combinaisons possibles, soit environ 95 mille milliards. Ca semble beaucoup. Mais un craqueur testant 10 milliards de tentatives par seconde en viendrait a bout en environ 2,6 heures. Pas genial.
Un mot de passe de 16 caracteres en minuscules uniquement a 26^16 combinaisons — environ 4,3 × 10^22. A la meme vitesse, cela prendrait environ 136 millions d'annees. Nettement mieux.
La longueur l'emporte. Chaque caractere supplementaire multiplie l'espace de recherche de facon exponentielle.
Comprendre l'entropie : la vraie mesure
La solidite d'un mot de passe se mesure formellement en bits d'entropie. La formule est simple :
entropy = log2(pool_size ^ length) = length × log2(pool_size)
Quelques reperes approximatifs :
| Jeu de caracteres | Taille du pool | 8 car. | 12 car. | 16 car. |
|---|---|---|---|---|
| Minuscules uniquement | 26 | 38 bits | 56 bits | 75 bits |
| Minuscules + chiffres | 36 | 41 bits | 62 bits | 83 bits |
| Maj/min + chiffres | 62 | 48 bits | 71 bits | 95 bits |
| Tout ASCII imprimable | 95 | 53 bits | 79 bits | 105 bits |
La regle generale :
- <40 bits : Faible — craquable en minutes a heures
- 40–60 bits : Moyen — peut resister a des attaques occasionnelles
- 60–80 bits : Fort — resistant a la plupart des attaques
- 80+ bits : Tres fort — essentiellement incraquable par force brute
Comparons deux exemples concrets :
password123 — 11 caracteres, minuscules et chiffres uniquement. Entropie theorique : 58 bits. Mais comme c'est un pattern de dictionnaire, il apparait dans toutes les listes de mots. En realite, il serait craque en moins d'une seconde.
k9#Lm2@pQr7!vXwZ — 16 caracteres avec majuscules/minuscules, chiffres et symboles. Entropie theorique : environ 105 bits. Aucune liste de mots au monde ne le contient. A 10 milliards de tentatives par seconde, le forcer prendrait plus longtemps que l'age actuel de l'univers. Voila a quoi ressemble "fort" en realite.
L'ecart entre ces deux mots de passe n'est pas juste une couleur differente sur un indicateur — c'est la difference entre "compromis instantanement" et "jamais compromis".
Ce que verifie un bon testeur de solidite
Un testeur basique compte juste les types de caracteres et la longueur. Un bon testeur va plus loin. Voici les neuf facteurs qui comptent vraiment :
1. Longueur Le facteur le plus important. Chaque caractere ajoute multiplie la difficulte de facon exponentielle. Les testeurs devraient pousser vers 16 caracteres ou plus et recompenser les mots de passe plus longs bien davantage que les courts.
2. Variete des caracteres Minuscules uniquement vs. majuscules + minuscules + chiffres + symboles etend enormement la taille du pool. Mais ce ne devrait pas etre votre levier principal — c'est un multiplicateur, pas la base. D'abord la longueur, ensuite la variete.
3. Detection des mots du dictionnaire
dragon, sunshine, iloveyou — ils figurent dans toutes les listes de craquage. Tout bon testeur signale les mots anglais courants et les penalise, quelle que soit la longueur apparente du mot de passe.
4. Substitutions courantes
3 pour e, @ pour a, ! pour i, 0 pour o. Les attaquants executent ces schemas de substitution automatiquement dans le cadre d'attaques basees sur des regles. Un bon testeur reconnait que P@$$w0rd est structurellement un mot du dictionnaire.
5. Schemas de clavier
qwerty, 1234, asdfgh, zxcvbn — les sequences faciles a taper sont faciles a deviner. Les schemas diagonaux sur le clavier sont aussi courants et detectes.
6. Caracteres repetes et sequences
aaaa, 1111, abcabc, password1password1. La repetition reduit considerablement l'entropie effective meme quand la longueur brute semble correcte.
7. Comparaison avec les listes de mots de passe courants Les 10 000 mots de passe les plus courants, les 100 000 les plus courants — ils sont testes a chaque attaque. Un testeur devrait signaler tout mot de passe qui apparait dans ces listes ou qui leur ressemble.
8. Schemas d'informations personnelles Les annees (1985–2010), les dates de naissance dans des formats courants (0312, 031285), les noms suivis de chiffres — ce sont des elements devines dans les attaques ciblees utilisant des informations recoltees sur les reseaux sociaux.
9. Calcul d'entropie La mesure finale — l'entropie en bits — synthetise tout ce qui precede en un seul chiffre qui vous dit a quel point le mot de passe resiste a la force brute apres prise en compte des schemas previsibles.
Les erreurs classiques
Meme les personnes qui connaissent les regles tombent souvent dans les memes pieges :
L'habitude du "mot de passe + 1"
Beaucoup de gens, quand ils doivent changer de mot de passe, incrementent simplement un chiffre a la fin : Soccer2022, Soccer2023, Soccer2024. Les attaquants qui ont un ancien mot de passe essaient ce schema en premier. C'est l'un des schemas de reutilisation les plus courants dans les donnees de fuites.
Le maquillage par symbole
Ajouter ! a la fin ou # au milieu d'un mot de passe par ailleurs faible. Ca semble significatif, mais si le mot de base est dans un dictionnaire, l'ensemble reste vulnerable au craquage par regles. sunshine! est craque presque aussi vite que sunshine.
Le piege de la substitution
P@ssw0rd est litteralement l'un des mots de passe les plus couramment bloques. Les substitutions sont tellement previsibles qu'elles sont integrees dans chaque jeu de regles de craquage. Si vous comptez sur le 3 a la place du e pour securiser votre mot de passe, votre mot de passe n'est pas securise.
Les mots de passe personnels significatifs
JohnDoe1985! semble fort — longueur, majuscule, chiffre, symbole. Mais il contient aussi votre nom et votre annee de naissance. Dans une attaque ciblee, ce sont parmi les premieres choses testees. Et si vous avez deja ete implique dans une fuite de donnees, cette combinaison est peut-etre deja dans une liste.
Utiliser le meme mot de passe fort partout C'est sans doute pire que d'avoir plusieurs mots de passe moyens. Si un service est compromis et que votre mot de passe est expose en clair (ca arrive plus souvent qu'on ne le pense), chaque compte partageant ce mot de passe est immediatement en danger.
Des mots de passe courts mais complexes
P@1x utilise techniquement les quatre types de caracteres, mais 4 caracteres se craquent en microsecondes. La complexite ne remplace pas la longueur.
Comment utiliser le testeur de solidite
Le testeur de solidite des mots de passe ToolPal analyse votre mot de passe selon les neuf criteres ci-dessus et vous donne un bilan detaille — pas juste une barre coloree, mais un retour precis sur ce qui fonctionne et ce qui ne fonctionne pas.
Voici comment en tirer le meilleur parti :
Commencez par vos vrais mots de passe — ceux que vous utilisez actuellement pour vos comptes importants. Les resultats pourraient etre inconfortables, mais c'est le but. Si votre mot de passe bancaire est note "faible" ou "moyen", c'est une information que vous devez connaitre.
Lisez le retour specifique — Le testeur ne vous donne pas juste un score. Il vous dit pourquoi : "contient un mot du dictionnaire", "schema de clavier detecte", "trop court". Utilisez ce retour pour comprendre quel principe vous enfreignez.
Ameliorez progressivement — Si vous devez memoriser le mot de passe (on en reparle plus bas), l'objectif n'est pas de taper des caracteres au hasard jusqu'a ce que l'indicateur devienne vert. L'objectif est de comprendre ce qui rend un mot de passe fort et d'en construire un avec ces principes en tete.
Verifiez vos "mots de passe maitres" — Si vous utilisez un gestionnaire de mots de passe (ce que vous devriez faire), vous avez probablement un mot de passe maitre qui protege tout. Celui-la merite une attention particuliere. Passez-le dans le testeur. Soyez honnete avec le resultat.
Un avertissement important : n'entrez vos mots de passe que dans des testeurs de confiance. Le testeur ToolPal traite tout cote client — votre mot de passe ne quitte jamais votre navigateur. Verifiez toujours cela avant d'entrer un vrai mot de passe dans un outil en ligne.
Les limites d'un testeur de solidite
Un testeur de solidite vous dit a quel point votre mot de passe est difficile a deviner de maniere isolee. Il ne sait pas si ce mot de passe a deja ete divulgue.
C'est une vraie limitation. Vous pouvez avoir un mot de passe techniquement fort — haute entropie, pas de schemas de dictionnaire — qui a ete expose dans une fuite de donnees. Si un service stocke les mots de passe en clair ou avec un hachage faible (ca arrive encore), votre mot de passe fort se retrouve dans des bases de donnees de fuites et sera teste lors d'attaques futures.
Pour cela, vous avez besoin d'un autre outil : haveibeenpwned.com — le service de Troy Hunt qui vous permet de verifier si votre adresse e-mail ou un mot de passe specifique est apparu dans des fuites connues. Gratuit, fiable, et avec une conception respectueuse de la vie privee pour la verification des mots de passe. Utilisez-le en complement d'un testeur de solidite, pas a sa place.
Les deux outils repondent a des questions differentes :
- Testeur de solidite : Ce mot de passe est-il difficile a deviner a partir de rien ?
- Have I Been Pwned : Ce mot de passe specifique a-t-il deja ete expose ?
Vous voulez un "oui" au premier et un "non" au second.
L'approche par phrase de passe
Si vous essayez de creer un mot de passe dont vous pouvez reellement vous souvenir, l'approche par phrase de passe est veritablement excellente — et souvent plus securisee que l'approche du melange de caracteres.
Une phrase de passe comme correct-horse-battery-staple (oui, la reference classique de xkcd) fait 28 caracteres de lettres minuscules et de tirets. Quand les mots sont choisis aleatoirement, cela represente plus de 130 bits d'entropie. Et c'est bien plus facile a taper et a retenir que k9#Lm2@pQr7!vXwZ.
Le mot cle est choisis aleatoirement. La plupart des gens choisissent des mots qui sont lies entre eux ou personnellement significatifs — blue-ocean-guitar-dream — ce qui reduit l'aleatoire effectif. L'ideal est 4 a 6 mots choisis par tirage de des ou generateur aleatoire, sans aucun lien entre eux.
Si vous voulez un mot de passe aleatoire plutot qu'une phrase de passe, utilisez un generateur — pas votre imagination. Le generateur de mots de passe ToolPal peut creer des mots de passe cryptographiquement aleatoires de n'importe quelle longueur avec n'importe quelle combinaison de types de caracteres. Utilisez-le pour les comptes dont vous n'avez pas besoin de memoriser le mot de passe (ce qui, avec un gestionnaire, represente la plupart).
La vraie recommandation : utilisez un gestionnaire de mots de passe
J'ai parle de comment creer des mots de passe forts, mais soyons directs : la meilleure pratique pour la plupart des gens en 2026 est d'utiliser un gestionnaire de mots de passe.
Un gestionnaire comme Bitwarden (gratuit, open source), 1Password ou Dashlane genere un mot de passe unique et cryptographiquement aleatoire pour chaque site — generalement plus de 20 caracteres de tout le jeu de caracteres. Vous ne choisissez pas le mot de passe. Vous n'essayez pas de le retenir. Le gestionnaire le stocke et le remplit automatiquement.
Cela resout plusieurs problemes a la fois :
- Chaque compte a un mot de passe unique et fort
- Vous n'avez a en memoriser aucun
- Vous voyez quels comptes utilisent des mots de passe faibles ou reutilises
- Beaucoup de gestionnaires verifient vos mots de passe contre les bases de fuites automatiquement
Les testeurs de solidite sont les plus utiles pour les mots de passe que vous devez memoriser — le mot de passe maitre de votre gestionnaire, votre connexion PC, peut-etre votre e-mail principal. Pour ceux-la, comprendre l'entropie et utiliser le testeur pour verifier vos choix est reellement utile.
Pour tout le reste : generez, ne creez pas.
Conseils pratiques
En resume :
- La longueur est le facteur le plus important — visez 16 caracteres ou plus pour tout ce qui compte
- Evitez les mots du dictionnaire et les substitutions previsibles —
@pourane trompe personne - Verifiez vos vrais mots de passe avec le testeur de solidite — pas des hypothetiques
- Verifiez l'exposition aux fuites sur haveibeenpwned.com separement
- Utilisez un gestionnaire de mots de passe pour les comptes que vous n'avez pas besoin de memoriser
- Utilisez une phrase de passe (4+ mots aleatoires) pour les mots de passe que vous devez retenir
- Utilisez un generateur comme le generateur de mots de passe ToolPal pour les mots de passe aleatoires
- Ne reutilisez jamais un mot de passe — jamais, meme un fort
L'objectif n'est pas une barre verte sur un testeur. L'objectif est un mot de passe qui prendrait des siecles a craquer et qui n'est apparu dans aucune fuite. Ces deux choses ensemble sont ce qui protege reellement vos comptes.
Besoin d'un mot de passe fort maintenant ? Essayez le generateur de mots de passe ToolPal — il cree des mots de passe cryptographiquement aleatoires ajustables en longueur et types de caracteres. Et passez tout mot de passe que vous envisagez dans le testeur de solidite avant de vous y engager.