VIE DE L'ÉTABLISSEMENT
Dans le n° 157-mars 2024  - Cybersécurité  16499

Le casse-tête des mots de passe

La compromission de mots de passe est un vecteur majeur de violation de données, voire de cyberattaque. Utiliser des mots de passe « robustes » et différents pour chaque site est une mesure de sécurité de base, indispensable au risque d'engager sa responsabilité.

Cet article est réservé aux abonnés.

Pour profiter pleinement de l'ensemble de ses articles, Géroscopie vous propose de découvrir ses offres d'abonnement.

Mais concrètement, comment faire pour créer des mots de passe « robustes » et mémorisables, et gérer un grand nombre de mots de passe ?

Pour créer des mots de passe « robustes », il est nécessaire de comprendre comment un mot de passe peut être compromis.

Cinq méthodes principales

1. Le vol, copie ou photo d'un fichier non protégé (type fichier Excel) ou d'un répertoire papier contenant vos mots de passe : les mots de passe ne doivent être conservés que de façon sécurisée.

2. Le vol d'une base de données contenant des mots de passe et insuffisamment protégée (ou l'achat d'une base de données volée). Cela ne concerne pas que des sites amateurs ou « louches » : en 2022, la CNIL a condamné EDF pour manquement à son obligation de sécurité, car les mots de passe de certains comptes clients étaient conservés de manière non sécurisée. La meilleure façon de limiter ce risque est d'utiliser un mot de passe différent pour chaque site.

3. L'utilisation d'un logiciel (en vente libre) pour « casser » les mots de passe. Ce type de logiciel peut :

- essayer toutes les combinaisons possibles (attaque par force brute). La longueur du mot de passe et la combinaison des 4 types de caractères vont ici jouer un rôle crucial pour augmenter l'entropie du mot de passe.

- utiliser des listes de mots, en commençant par les plus courants (attaque par dictionnaire). Des variantes, comme remplacer « a » par « @ » ou « S » par « {content}nbsp;» sont aujourd'hui éventées, et le logiciel testera toutes les combinaisons possibles.... Prudence si vous utilisez une « phrase de passe » (succession de mots) : pour avoir une entropie suffisante, il vous faudra utiliser 7 mots du vocabulaire courant. Par contre, l'utilisation de mots rares (par exemple issus d'un vocabulaire professionnel) ou de différentes langues rendra votre mot de passe plus robuste.

- exploiter des informations facilement accessibles concernant l'établissement ou la personne visée et ses proches (nom, prénom, date de naissance...) Avant de choisir un mot de passe, réfléchissez à ce que vous divulguez sur les réseaux sociaux ! C'est la notion de « devinabilité » du mot de passe.

Des attaques « hybrides » combinant ces méthodes sont évidemment possibles.

4. Par tromperie et manipulation psychologique (ingénierie sociale), en incitant la personne à divulguer elle-même son mot de passe.

5. Grâce à un logiciel malveillant (keylogger) qui enregistre la frappe au clavier.

Dans ces deux derniers cas, la conception du mot de passe n'est pas en cause.

Choisir un mot de passe robuste

Selon la dernière recommandation de la CNIL[1], un mot de passe « robuste » :

- est composé de 14 caractères au minimum. Ce nombre peut être réduit s'il existe un autre mécanisme de sécurité, comme le blocage du compte au bout de x tentatives ou une authentification à double facteur (utilisation d'une carte et d'un code par exemple)

- combine des majuscules, des minuscules, des chiffres et des caractères spéciaux

- ne fait pas référence à des informations personnelles facilement accessibles

- n'est utilisé que sur un seul site

- est mémorisé ou conservé de façon sécurisée. Attention, la fonction « gestionnaire de mots de passe » des navigateurs n'est pas suffisamment sécurisée et il est conseillé de désactiver l'enregistrement automatique des mots de passe.

Utiliser des moyens mnémotechniques

Pour créer plusieurs mots de passe mémorisables, il faut adopter un moyen mnémotechnique.

Un moyen qui fonctionne très bien consiste à utiliser la première lettre de chaque mot d'une phrase. Par exemple, « J'ai un chien qui s'appelle Médor » donnera : J'a1cqs'aM.

Pour rallonger ce mot de passe et le personnaliser pour chaque site, on ajoute des caractères propres au site auquel il se rapporte, par exemple les 3 premières lettres, séparées du « tronc commun » par un caractère spécial. Ainsi, pour un compte Amazon, cela pourrait donner : J'a1cqs'aM+ama.

Bien entendu, vous pouvez choisir d'ajouter les 3 dernières, ou toutes les voyelles : la règle d'or sera d'utiliser toujours la même logique dans la conception de vos mots de passe. Par exemple, on pourrait décider :

- de toujours remplacer « un » par « 1 », mais jamais « de » par « 2 » ;

- de toujours mettre la dernière lettre en majuscule plutôt que la première ;

- de toujours utiliser le même caractère spécial pour séparer le « tronc commun » de l'élément personnalisé.

Deux recommandations toutefois :

- pour l'authentification sur un site contenant des données « sensibles », utilisez un mot de passe 100% unique et activez si possible une authentification à double facteur ;

- utilisez un poème, une fable ou les paroles d'une chanson. En cas de doute sur un mot, vous le retrouverez facilement. D'autre part, vous pourrez créer autant de mots de passe que ce qu'il y a de vers. Petite astuce : pour s'assurer d'avoir toujours au moins un chiffre et un caractère spécial, insérez le n° du vers accompagné d'un caractère spécial. Par exemple : (V1)MCs1ap.

Cependant, si vous avez des dizaines de mots de passe à gérer, n'hésitez pas à recourir à un gestionnaire numérique de mots de passe. C'est d'ailleurs la solution recommandée par la CNIL et autres autorités en matière de cybersécurité.

Ce type de logiciel chiffre avec un algorithme fort vos couples identifiants/mots de passe et les centralise dans une base de données. Cette base est accessible par un mot de passe appelé « mot de passe maitre ». Il doit être particulièrement robuste car la sécurité repose sur lui en cas de tentative de piratage. Si vous le perdez, il est impossible de le récupérer.

La base de données peut être stockée en local, sur un support amovible, ou sur le web en mode SaaS. Chaque solution présente ses avantages et ses inconvénients.

Choisir le gestionnaire de mots de passe

Outre qu'il permet de se conformer aux recommandations de la CNIL en matière de sécurité, le gestionnaire de mots de passe vous fera gagner beaucoup de temps :

- Il peut générer automatiquement des mots de passe totalement aléatoires répondant aux règles que vous aurez déterminées. Ceci est particulièrement utile si vous devez renouveler en urgence plusieurs mots de passe parce que vous craignez une compromission.

- Il remplira automatiquement les champs identifiant/mot de passe sur les sites web.

Les autorités publiques recommandent Keepass[2], logiciel libre et gratuit certifié par l'ANSSI. Cependant, vous pourriez préférer un des nombreux autres gestionnaires de mots de passe qui existent en version gratuite ou payante, comme Bitwarden. Aucune concession n'est faite sur le niveau de sécurité. Simplement les versions payantes offrent plus de fonctionnalités, par exemple en permettant de partager plusieurs comptes.

Un conseil : prenez le temps de paramétrer convenablement les options de sécurité, comme le délai dans lequel le gestionnaire se verrouille lorsqu'il n'est pas utilisé, le délai d'effacement des valeurs copiées dans le presse-papier ou une authentification à deux facteurs.

Mais bonne nouvelle, la CNIL a abandonné l'obligation de renouvellement des mots de passe pour les comptes utilisateurs classiques, qui s'avérait contreproductive. Le renouvellement régulier reste requis pour les comptes « à privilèges » (comptes administrateurs). En cas de compromission, suspectée ou avérée, les mots de passe doivent toujours être immédiatement changés.


29/01/2026  - Réforme

Stéphanie Rist s'inscrit clairement dans l'esprit de la loi infirmière

Lors d'un déplacement à la maison de santé pluridisciplinaire de Taissy, dans la Marne, Stéphanie Rist a fait le point sur la réforme portée par la grande loi infirmière du 27 juin 2025.
Lire la suite
29/01/2026  - BASSMS

Accord du 4 juin 2024 : 46 départements « ont honoré leurs engagements » en 2025

La confédération d'employeurs Axess fait le bilan 2024 et 2025 du financement par les départements de l'accord du 4 juin 2024 sur le Ségur pour tous.
Lire la suite
29/01/2026  - Répia

« 5 minutes, 5 jours, 5 défis pour l'hygiène des mains »

À l'occasion de la Journée mondiale de l'hygiène des mains, le 5 mai, le Répia lance l'édition 2026 de sa campagne nationale de sensibilisation :
Lire la suite
29/01/2026  - Prévention

Une grille d'auto-évaluation pour prévenir le suicide en établissement

Il permet aux Ehpad d'adopter un regard systématique et exhaustif sur les espaces de soins et de vie.
Lire la suite
28/01/2026  - Recherche

La perte de l'odorat, premier signe de la maladie à corps de Lewy ?

Si l'hypothèse était confirmée, un simple prélèvement nasal couplé à des tests olfactifs pourrait la différencier d'Alzheimer.
Lire la suite
28/01/2026  - Fin de vie

Soins palliatifs : les ambitions rattrapées par le principe de réalité

Les propositions de loi sur le droit à l'aide à mourir et sur les soins palliatifs sont soumises à un vote solennel du Sénat le 28 janvier en soirée, précédé d'explications de vote.
Lire la suite
28/01/2026  - Solitude

Les Petits Frères des Pauvres veulent créer un Observatoire de la mort solitaire

L'association annonce la création d'un comité scientifique chargé de mettre en place un Observatoire national de la mort solitaire qui collectera des données fiables sur la fréquence et les circonstances de la mort solitaire.
Lire la suite
28/01/2026  - Congrès Fnadepa

"La bataille n'est pas perdue" : Marie-Anne Montchamp appelle à structurer une vision politique de l'autonomie

Ancienne présidente de la CNSA et actuelle directrice générale de l'OCIRP, Marie-Anne Montchamp a livré lors du 18e colloque de la FNADEPA une analyse sans concession des politiques de l'âge. Entre court-termisme budgétaire et absence de contrat clair avec la nation, elle diagnostique les failles d'un système qui peine à assumer la création de la cinquième branche.
Lire la suite
27/01/2026  - Santé publique

Grippe : la campagne de vaccination prolongée jusqu'au 28 février

Face à la poursuite d'une circulation importante des virus grippaux, la campagne de vaccination est prolongée jusqu'au 28 février, a annoncé la Direction générale de la santé (DGS)
Lire la suite
footer_logo_img

20, rue d'armenonville 92200 Neuilly sur seine

Tél. 01 41 49 70 00

Email : redaction@geroscopie.fr

Menus

GÉROSCOPIE

Copyright © 2022 - Tous droits réservés