Un bon mot de passe n’est pas “compliqué” : c’est un mot de passe unique, difficile à deviner, et géré avec une méthode fiable. Aujourd’hui, vous mettez en place un système : une phrase de passe (facile à retenir), un gestionnaire de mots de passe, puis la mise à jour de vos 5 comptes les plus importants.
Objectif : arrêter la réutilisation de mot de passe, qui est la catastrophe assurée !
Pourquoi c’est (hyper) important
- Un mot de passe réutilisé sur plusieurs sites peut (va !) tomber en cascade si un seul service est compromis. C’est mortel !!! ☠️ La mode du moment, ça ne vous a pas échappé, ce sont les « fuites de données », même sur des sites étatiques. Si vous voulez avoir des sueurs froides, tapez votre adresse mail dans le site https://haveibeenpwned.com/ pour voir les (principales) fuites de données dont vous avez été victimes. Vous pouvez considérez que tous ces mots de passe sont dans la nature… et dans des listes utilisées à grande échelle pour tenter des accès avec le binôme identifiant/mot de passe. Et les fuites, c’est tous les jours (données de santé, RIB, mots de passe, adresse, détention d’armes à feu etc.) : la preuve ici.
- Un bon système vous évitera les “petites astuces” très souvent dangereuses. Je pense par exemple à l’utilisation d’un même mot de passe avec une variante (quelques lettres qui changent). Ne faites jamais ça !
- L’ANSSI recommande d’adapter la robustesse du mot de passe à son contexte. Un mot de passe très fort devrait être utilisé pour votre banque, votre mail principal et le site des impôts par exemple. Sachez que certains sites limitent le nombre de caractères, même s’ils ne le disent pas lors de la création du mot de passe. Dépasser 35 à 40 caractères ne sert pas à grand-chose.
Action du jour : mettre en place votre système (30–60 min)
Mots de passe : beaucoup d’idées reçues…
Je vous laisse regarder cette vidéo qui explique quelques idées reçues sur les mots de passe et ce qu’est l’entropie. On vous a rabattu pendant des années que D!H%8y7*h était mieux que bougie-chèvre-matraque-maison-vélo. C’est faux !
Le second mot de passe (la phrase de passe) a plus d’entropie (plus dur à deviner) que le premier et en plus il est facilement mémorisable ! Seulement il y a une condition de taille : il ne faut pas que ce soit vous qui choisissiez les mots constituant la phrase sinon le mot de passe est plus facilement devinable. En gros Th0m@s19662811 ne vaut rien du tout comme mot de passe si on connait votre date de naissance et votre prénom. En quelques secondes, ça tombe !
Le système Diceware repose sur un choix aléatoire de mots parmi une liste. Vous prenez ce qui tombe et les mémorisez ensuite (ou dans votre gestionnaire de mots de passe).
Si vous êtes un peu dingo 🫨comme moi, prenez un dé à 6 faces, prenez un moment et lancez le pour obtenir du vrai aléatoire et trouver une correspondance dans cette liste Diceware en français.
Exemple : vous jetez le dé (ou 5 dés en même temps) et obtenez 11124 cela correspond au mot abattoir. Vous recommencez pour avoir plusieurs mots aléatoires.
- 5 mots équivalent à 9 caractères aléatoires (comme D!H%8y7*h)
- 6 mots équivalent à 11 caractères aléatoires (comme Zu$NuBA@*2J)
- 7 mots équivalent à 13 caractères aléatoires (comme vWtJy!9v@7vJN)
- 8 mots équivalent à 15 caractères aléatoires (comme d8qd$UKw&zMjw!8)
Ça vous épate hein ? Le plus pénible avec ça c’est que simplicité (aléatoire) égale bien robustesse mais que presque personne n’est au courant. On continue de nous imposer des contraintes débiles de caractère spéciaux qui ne servent pas à grand chose !
Choisissez votre phrase de passe “maître” (10 min)
La CNIL donne une recommandation claire : une phrase de passe peut être utilisée, composée d’au minimum 7 mots. Elle facilite la mémorisation, reste impossible à casser dans des délais raisonnables par les moyens informatiques actuels.
Règles simples :
- 7 mots ou plus, phrase inhabituelle, sans lien évident avec vous (pas une citation connue, pas une phrase “Googleable”). Les mots ne doivent pas avoir de lien entre eux, les choisir aléatoirement dans une liste ou dictionnaire est le plus sûr.
- Vous devez pouvoir la retaper sans faute et ne pas l’oublier.
- Cette phrase de passe doit être unique et jamais utilisée ailleurs. JA-MAIS !!! Sinon tout votre système tombe !
Exemple de structure (à personnaliser, sans reprendre cet exemple tel quel) :
“Mot1-Mot2.Mot3-Mot4.Mot5-Mot6.Mot7-Mot8”.
Il faut du costaud et ce sera le seul et unique mot de passe que vous aurez à retenir !!!! 💪🏻🏋🏻
Installez un gestionnaire de mots de passe (10–15 min)
Le but est de ne plus stocker dans votre tête ou sur un carnet des dizaines de mots de passe et générer des mots de passe uniques.
- Choisissez un gestionnaire réputé et installez-le sur vos appareils principaux : smartphone, tablette et PC.
- Activez, si disponible, la protection par code/PIN et le verrouillage automatique de l’application.
Je conseille souvent Bitwarden qui est gratuit et synchronise automatiquement les mots de passe sur tous vos appareils. Vous ne trouverez pas mieux, allez y les yeux fermés.
Si vous êtes prêt à payer quelques euros par an pour un service avec abonnement (est-ce vraiment nécessaire ?) je conseille ProtonPass (top !) ou 1password, réputés tous les deux.
Si vous avez du matos Apple, le trousseau de l’application Mot de passe est excellent, foncez ! C’est intégré nativement et donc simple d’utilisation. Pensez juste à sécuriser très fortement :
- votre mot de passe de compte Apple/iCloud
- le mot de passe de verrouillage de vos appareils (iphone/ipad), celui que vous tapez au démarrage. Ce ne doit pas être votre date de naissance hein ? (Je suis sûr que c’est le cas 😜)
C’est sur eux que reposent la sécurité de l’ensemble (iCloud).
Pour ma part, je suis un peu parano et j’utilise Keepass (Application KeepassXC sur le PC et Keepass Touch sur l’iphone et l’ipad). Je synchronise « à la main » de temps en temps sur mes appareils le fichier « coffre fort » et je ne le stocke donc nulle part en ligne sur le cloud. C’est je pense la solution la plus sûre (votre coffre-fort de mots de passe ne traîne nulle part sur le web) mais aussi la plus pénible de mise en œuvre. A réserver aux « barbus de l’informatique ».
Changez les mots de passe de vos 5 comptes les plus sensibles (20–30 min)
Prenez votre liste du jour 2 et commencez par vos comptes Priorité 1 (P1):
- Votre email principal : il permet bien souvent de changer les mots de passe de tous vos autres comptes et au passage de savoir quels comptes vous avez en épluchant vos mails. Il est donc très important d’en blinder la sécurité.
- Votre compte en banque / site des impôts : paradoxalement certaines banques vous obligent à avoir un code à 6 ou 8 chiffres (à cliquer), ce qui incite à mettre sa date de naissance : Crédit Agricole et Boursorama par exemple 😡👎.
- Vos réseaux sociaux principaux.
Rappelons au passage qu’il ne faut communiquer vos mots de passe à personne et évitez les infos faciles à deviner dans le mot de passe (date de naissance, surnom).
Ajoutez une règle “anti-retour en arrière” (5 min)
Écrivez dans vos notes ce double engagement fort qu’il vous faudra tenir :
- “À partir d’aujourd’hui, je ne réutilise aucun mot de passe, jamais. Un mot de passe est unique”
- “Pour tout nouveau compte, je génère un mot de passe long aléatoirement et je l’enregistre dans le gestionnaire de mot de passe.”
Facile / Intermédiaire / Avancé (au choix)
- 😉Facile : choix d’une phrase de passe + installation d’un gestionnaire de mot de passe + changement des mots de passe de 5 comptes (email + banque en priorité).
- 🧐Intermédiaire : choix d’une phrase de passe + installation d’un gestionnaire de mot de passe + changement de mots de passe de 10 comptes “critiques”.
- 😰Avancé : phrase de passe (≥ 7 mots) + gestionnaire + 10 comptes + vérification que vos anciens mots de passe n’utilisent pas date de naissance/nom/prénom/surnom et changement de leur mot de passe si c’est le cas.
Bien / Pas bien !
Allez, pour illustrer tout ça façon « les inconnus ». Vous avez la ref ?
❌Je prends un mot compliqué et je le réutilise partout. (Même compliqué il tombera à la première fuite de données et exposera tous les autres comptes)
✅Je prends un mot de passe unique par service, géré via un gestionnaire.
❌Choisir des éléments devinables (date de naissance, surnom) : s’il sont facilement devinables, ils sont assurément dans des listes (dictionnaires) largement partagées et utilisées pour « cracker » les mots de passe.
✅Utiliser une phrase de passe robuste (et sans lien avec votre vie et habitudes).
❌Partager son mot de passe “juste une fois” : cela revient à avoir un compte sans mot de passe ou laisser sa clé sur la porte (TRES dangereux).
✅Considérer qu’un mot de passe est personnel et ne se communique pas.
❌Utiliser le gestionnaire de mot de passe intégrés dans Google/Edge/navigateurs.
✅Il faut préférer un service dédié, neutre et multiplateforme pour éviter l’hameçonnage dans un ecosystème (Google par exemple). Un gestionnaire de mot passe doit rester isolé des autres services, notamment navigateurs internet (même si l’addon du gestionnaire de mot de passe peut facilement être ajouté à son navigateur favori).
Check-list (à cocher)
Vous avez bien bossé aujourd’hui et sécurisé vos comptes. C’est l’action la plus importante de tout ce guide, de très loin. Bravo !
- J’ai créé une phrase de passe d’au moins 7 mots.
- J’ai installé un gestionnaire de mots de passe sur mon appareil principal.
- J’ai changé le mot de passe de mon email principal et de 1 autre compte sensible, sans utiliser date de naissance/nom/prénom/surnom.
- Je n’utilise plus le même mot de passe sur plusieurs sites.
Au programme du Jour 4
Demain (📅Jour 4), vous ajouterez la double authentification (2FA) sur vos comptes clés : c’est un des meilleurs leviers pour éviter qu’un mot de passe volé suffise à vous pirater, et c’est recommandé par l’ANSSI.
Et si vous avez loupé le 📅Jour 2, c’est ici : Reprendre le contrôle de sa vie privée en ligne – Jour 2 – votre inventaire numérique (avant de faire le ménage)
