VIE DE L'ÉTABLISSEMENT
Dans le n° 157-mars 2024  - Cybersécurité  16499

Le casse-tête des mots de passe

La compromission de mots de passe est un vecteur majeur de violation de données, voire de cyberattaque. Utiliser des mots de passe « robustes » et différents pour chaque site est une mesure de sécurité de base, indispensable au risque d'engager sa responsabilité.

Cet article est réservé aux abonnés.

Pour profiter pleinement de l'ensemble de ses articles, Géroscopie vous propose de découvrir ses offres d'abonnement.

Mais concrètement, comment faire pour créer des mots de passe « robustes » et mémorisables, et gérer un grand nombre de mots de passe ?

Pour créer des mots de passe « robustes », il est nécessaire de comprendre comment un mot de passe peut être compromis.

Cinq méthodes principales

1. Le vol, copie ou photo d'un fichier non protégé (type fichier Excel) ou d'un répertoire papier contenant vos mots de passe : les mots de passe ne doivent être conservés que de façon sécurisée.

2. Le vol d'une base de données contenant des mots de passe et insuffisamment protégée (ou l'achat d'une base de données volée). Cela ne concerne pas que des sites amateurs ou « louches » : en 2022, la CNIL a condamné EDF pour manquement à son obligation de sécurité, car les mots de passe de certains comptes clients étaient conservés de manière non sécurisée. La meilleure façon de limiter ce risque est d'utiliser un mot de passe différent pour chaque site.

3. L'utilisation d'un logiciel (en vente libre) pour « casser » les mots de passe. Ce type de logiciel peut :

- essayer toutes les combinaisons possibles (attaque par force brute). La longueur du mot de passe et la combinaison des 4 types de caractères vont ici jouer un rôle crucial pour augmenter l'entropie du mot de passe.

- utiliser des listes de mots, en commençant par les plus courants (attaque par dictionnaire). Des variantes, comme remplacer « a » par « @ » ou « S » par « {content}nbsp;» sont aujourd'hui éventées, et le logiciel testera toutes les combinaisons possibles.... Prudence si vous utilisez une « phrase de passe » (succession de mots) : pour avoir une entropie suffisante, il vous faudra utiliser 7 mots du vocabulaire courant. Par contre, l'utilisation de mots rares (par exemple issus d'un vocabulaire professionnel) ou de différentes langues rendra votre mot de passe plus robuste.

- exploiter des informations facilement accessibles concernant l'établissement ou la personne visée et ses proches (nom, prénom, date de naissance...) Avant de choisir un mot de passe, réfléchissez à ce que vous divulguez sur les réseaux sociaux ! C'est la notion de « devinabilité » du mot de passe.

Des attaques « hybrides » combinant ces méthodes sont évidemment possibles.

4. Par tromperie et manipulation psychologique (ingénierie sociale), en incitant la personne à divulguer elle-même son mot de passe.

5. Grâce à un logiciel malveillant (keylogger) qui enregistre la frappe au clavier.

Dans ces deux derniers cas, la conception du mot de passe n'est pas en cause.

Choisir un mot de passe robuste

Selon la dernière recommandation de la CNIL[1], un mot de passe « robuste » :

- est composé de 14 caractères au minimum. Ce nombre peut être réduit s'il existe un autre mécanisme de sécurité, comme le blocage du compte au bout de x tentatives ou une authentification à double facteur (utilisation d'une carte et d'un code par exemple)

- combine des majuscules, des minuscules, des chiffres et des caractères spéciaux

- ne fait pas référence à des informations personnelles facilement accessibles

- n'est utilisé que sur un seul site

- est mémorisé ou conservé de façon sécurisée. Attention, la fonction « gestionnaire de mots de passe » des navigateurs n'est pas suffisamment sécurisée et il est conseillé de désactiver l'enregistrement automatique des mots de passe.

Utiliser des moyens mnémotechniques

Pour créer plusieurs mots de passe mémorisables, il faut adopter un moyen mnémotechnique.

Un moyen qui fonctionne très bien consiste à utiliser la première lettre de chaque mot d'une phrase. Par exemple, « J'ai un chien qui s'appelle Médor » donnera : J'a1cqs'aM.

Pour rallonger ce mot de passe et le personnaliser pour chaque site, on ajoute des caractères propres au site auquel il se rapporte, par exemple les 3 premières lettres, séparées du « tronc commun » par un caractère spécial. Ainsi, pour un compte Amazon, cela pourrait donner : J'a1cqs'aM+ama.

Bien entendu, vous pouvez choisir d'ajouter les 3 dernières, ou toutes les voyelles : la règle d'or sera d'utiliser toujours la même logique dans la conception de vos mots de passe. Par exemple, on pourrait décider :

- de toujours remplacer « un » par « 1 », mais jamais « de » par « 2 » ;

- de toujours mettre la dernière lettre en majuscule plutôt que la première ;

- de toujours utiliser le même caractère spécial pour séparer le « tronc commun » de l'élément personnalisé.

Deux recommandations toutefois :

- pour l'authentification sur un site contenant des données « sensibles », utilisez un mot de passe 100% unique et activez si possible une authentification à double facteur ;

- utilisez un poème, une fable ou les paroles d'une chanson. En cas de doute sur un mot, vous le retrouverez facilement. D'autre part, vous pourrez créer autant de mots de passe que ce qu'il y a de vers. Petite astuce : pour s'assurer d'avoir toujours au moins un chiffre et un caractère spécial, insérez le n° du vers accompagné d'un caractère spécial. Par exemple : (V1)MCs1ap.

Cependant, si vous avez des dizaines de mots de passe à gérer, n'hésitez pas à recourir à un gestionnaire numérique de mots de passe. C'est d'ailleurs la solution recommandée par la CNIL et autres autorités en matière de cybersécurité.

Ce type de logiciel chiffre avec un algorithme fort vos couples identifiants/mots de passe et les centralise dans une base de données. Cette base est accessible par un mot de passe appelé « mot de passe maitre ». Il doit être particulièrement robuste car la sécurité repose sur lui en cas de tentative de piratage. Si vous le perdez, il est impossible de le récupérer.

La base de données peut être stockée en local, sur un support amovible, ou sur le web en mode SaaS. Chaque solution présente ses avantages et ses inconvénients.

Choisir le gestionnaire de mots de passe

Outre qu'il permet de se conformer aux recommandations de la CNIL en matière de sécurité, le gestionnaire de mots de passe vous fera gagner beaucoup de temps :

- Il peut générer automatiquement des mots de passe totalement aléatoires répondant aux règles que vous aurez déterminées. Ceci est particulièrement utile si vous devez renouveler en urgence plusieurs mots de passe parce que vous craignez une compromission.

- Il remplira automatiquement les champs identifiant/mot de passe sur les sites web.

Les autorités publiques recommandent Keepass[2], logiciel libre et gratuit certifié par l'ANSSI. Cependant, vous pourriez préférer un des nombreux autres gestionnaires de mots de passe qui existent en version gratuite ou payante, comme Bitwarden. Aucune concession n'est faite sur le niveau de sécurité. Simplement les versions payantes offrent plus de fonctionnalités, par exemple en permettant de partager plusieurs comptes.

Un conseil : prenez le temps de paramétrer convenablement les options de sécurité, comme le délai dans lequel le gestionnaire se verrouille lorsqu'il n'est pas utilisé, le délai d'effacement des valeurs copiées dans le presse-papier ou une authentification à deux facteurs.

Mais bonne nouvelle, la CNIL a abandonné l'obligation de renouvellement des mots de passe pour les comptes utilisateurs classiques, qui s'avérait contreproductive. Le renouvellement régulier reste requis pour les comptes « à privilèges » (comptes administrateurs). En cas de compromission, suspectée ou avérée, les mots de passe doivent toujours être immédiatement changés.


31/03/2026  - Appel

Aide à domicile : le coût du carburant menace la continuité des interventions

Le Synerpa et le Synerpa Domicile appellent les pouvoirs publics à agir rapidement pour soutenir un secteur sous pression.
Lire la suite
31/03/2026  - HAS

Evaluation de la stimulation magnétique transcrânienne dans les douleurs neuropathiques chroniques

La HAS lance son évaluation pour la prise en charge des adultes réfractaires aux traitements pharmacologiques classiques.
Lire la suite
31/03/2026  - Revue GPNV

Conduite, stop ou encore : l'atout d'une évaluation sur simulateur

Une équipe lyonnaise présente dans la revue Gériatrie et Psychologie Neuropsychiatrie du Vieillissement un parcours multidimensionnel intégrant une évaluation cognitive et une évaluation sur simulateur de conduite.
Lire la suite
31/03/2026  - Opco-Santé

Apprentissage : un modèle fortement dépendant des aides

Le soutien massif à l'apprentissage s'essouffle, avec des aides nettement réduites et désormais ciblées en 2026. La branche SSSMS de l'Opco-Santé a déjà réduit la voilure.
Lire la suite
30/03/2026  - Education thérapeutique

Redressement judiciaire d'Asalée : le ministère garantit la continuité de l'activité

Le tribunal des activités économiques de Paris a placé, le 27 mars, l'association Asalée en redressement judiciaire.
Lire la suite
30/03/2026  - Soins

Filière Alzheimer de l'AP-HP : un état des lieux « à l'aube d'une révolution thérapeutique »

Réunie en séminaire, la filière a fait le point sur l'offre de soins et partagé les avancées scientifiques avec la communauté des neurologues et des gériatres impliqués.
Lire la suite
30/03/2026  - Emploi formation

Baromètre Opco-Santé : plus de 90 000 départs en retraite dans les trois ans

Cette projection s'inscrit dans un contexte où les branches couvertes par l'Opco-Santé connaissent déjà des difficultés structurelles de recrutement, notamment sur les métiers du soin et du médico-social.
Lire la suite
26/03/2026  - Diogène au cinéma

Eredità : filmer l'autre pour se trouver soi

Il y a des films qui ne ressemblent à rien de ce qu'on attendait et qui, pour cette raison, font leur chemin longtemps après qu'on les a vus. Eredità, l'héritage, en italien, est de ceux-là. Ce documentaire de 61 minutes signé Jean-Luc Cesco a été projeté le 25 mars au cinéma les 3 Luxembourg à Paris devant une équipe de soignants, suivi d'un débat avec le philosophe Eric Fiat. Une soirée qui méritait qu'on s'y attarde.
Lire la suite
26/03/2026  - Etude Drees

Le taux de pauvreté baisse de 4,1 points chez les nouveaux retraités

La Direction de la recherche des études de l'évaluation et des statistiques (Drees) présente, pour la première fois, une analyse de la variation du niveau de vie au moment du départ à la retraite.
Lire la suite
footer_logo_img

20, rue d'armenonville 92200 Neuilly sur seine

Tél. 01 41 49 70 00

Email : redaction@geroscopie.fr

Menus

GÉROSCOPIE

Copyright © 2022 - Tous droits réservés