Pendant deux décennies, une règle a dominé le web : votre mot de passe doit contenir une majuscule, un chiffre et un caractère spécial.
Le résultat ? Une catastrophe ergonomique et sécuritaire. Les utilisateurs ont créé des schémas prévisibles comme Marseille13! ou Soleil2024*. Pour un attaquant utilisant le calcul parallèle (GPU), ces combinaisons sont parcourues en quelques secondes.
La sécurité ne repose pas sur la complexité visuelle. Elle repose sur l’entropie — la mesure mathématique de l’imprévisibilité d’un mot de passe.
L’entropie : la longueur bat la complexité
Dans une attaque par force brute, le temps de cassage dépend exponentiellement de la longueur, pas de la variété des caractères.
P@ssw0rd! est complexe mais court. Il offre peu de combinaisons possibles.
Une passphrase comme Girafe-Velo-Tarte-Galaxie est plus facile à mémoriser pour un humain et mathématiquement quasi impossible à craquer pour une machine — trop de combinaisons possibles.
La réutilisation : la faille numéro un
Utiliser le même mot de passe sur plusieurs services est la faille la plus exploitée. Lorsqu’un site se fait pirater, les attaquants récupèrent votre couple email/mot de passe et le testent automatiquement sur tous les grands services (Gmail, banques, Amazon). C’est le credential stuffing.
Chaque service doit avoir une clé unique. Un gestionnaire de mots de passe (Bitwarden, 1Password, Dashlane) est devenu le standard minimal de l’hygiène numérique.
Le MFA : votre vrai bouclier
Même le meilleur mot de passe ne peut rien contre un site de phishing parfait ou un keylogger. La double authentification (MFA/2FA) est la ligne de défense qui change tout.
| Niveau | Méthode | Fiabilité |
|---|---|---|
| Basique | Code par SMS | Faible — risque de SIM swapping |
| Standard | Application (Google Authenticator, Aegis) | Haute — code temporaire local |
| Expert | Clé physique (YubiKey) | Maximale — preuve physique de présence |
Notre engagement Security by Design
En tant que développeurs, nous construisons des forteresses. Sur toutes nos applications, nous appliquons le principe du Security by Design.
Les mots de passe ne sont jamais stockés en clair — nous utilisons des algorithmes de dérivation de clé comme Argon2 ou Bcrypt, recommandés par l’OWASP. Les politiques d’accès forcent l’utilisation de standards modernes sur tous nos projets métiers.
Le plan d’action immédiat :
- Installez un gestionnaire de mots de passe — Bitwarden (open source) est notre recommandation.
- Changez le mot de passe de votre boîte mail principale en priorité — c’est la clé de voûte de tous vos autres accès.
- Activez la 2FA partout où c’est possible.
Votre équipe est-elle sensibilisée aux risques numériques ? Demandez un audit de sécurité.




