Introduction
Introduction
La sécurité des mots de passe constitue l’un des piliers essentiels de la protection des comptes en ligne. Même si l’authentification multifactorielle (MFA) renforce la sécurité, un mot de passe faible ou mal géré reste souvent la première cause d’intrusion. Comme le soulignent Cybermalveillance.gouv.fr et l’ANSSI, de nombreuses attaques réussies exploitent encore des mots de passe trop simples, réutilisés ou basés sur des informations personnelles.
Le NIST et l’OWASP recommandent par ailleurs d’utiliser des mots de passe longs, uniques et de ne jamais les stocker de manière non sécurisée. Comprendre ces erreurs courantes permet aux utilisateurs d’adopter de meilleures pratiques et d’améliorer la protection de leurs comptes.
Erreurs courantes de mots de passe
1. Mots de passe trop simples ou prévisibles
Cybermalveillance.gouv.fr met en avant que des mots de passe comme « 123456 », « password », « azerty » ou des mots du dictionnaire sont encore très utilisés. Ils peuvent être cassés en quelques secondes par des outils automatisés.
2. Réutilisation du même mot de passe
L’ANSSI rappelle que réutiliser un mot de passe pour plusieurs comptes est une erreur majeure. Si un seul site est compromis, tous les autres comptes utilisant ce mot de passe peuvent être piratés via des attaques automatisées (credential stuffing).
3. Utilisation d’informations personnelles
Beaucoup d’utilisateur·rice·s créent leurs mots de passe avec des éléments prévisibles comme des prénoms, dates de naissance, noms d’animaux ou ville de résidence. Ces informations sont souvent consultables sur les réseaux sociaux, ce qui facilite le piratage.
4. Stockage non sécurisé
Les recommandations de l’ANSSI et de Cybermalveillance indiquent qu’il est dangereux de noter ses mots de passe sur un papier, dans un fichier non protégé (« motdepasse.txt ») ou dans les notes du téléphone. Ce stockage facilite l’accès non autorisé.
5. Absence de mise à jour
Le NIST indique que même si les mots de passe ne doivent pas être changés trop fréquemment, ils doivent absolument être remplacés lorsqu’ils sont compromis ou suspectés de l’être. Beaucoup d’utilisateurs ignorent cette règle et conservent leurs anciens mots de passe.
Exemples concrets d’erreurs
- Utiliser « 0000 », « admin123 », « soleil2020 »
- Réutiliser le même mot de passe pour l’email, les réseaux sociaux et les achats en ligne
- Choisir un mot de passe basé sur une date de naissance ou un prénom
- Noter son mot de passe dans un fichier non protégé sur l’ordinateur
- Garder un mot de passe présent dans une fuite de données sans le changer
Conclusion
Les erreurs liées aux mots de passe restent l’une des principales faiblesses de la sécurité numérique. En adoptant des pratiques simples — mots de passe uniques, longs, non personnels et mis à jour en cas de fuite — les utilisateurs réduisent fortement les risques d’intrusion. Les recommandations issues de Cybermalveillance.gouv.fr, de l’ANSSI, du NIST et de l’OWASP offrent aujourd’hui un cadre fiable pour guider ces bonnes pratiques.
Sources utilisées
1. Cybermalveillance.gouv.fr – Bonnes pratiques mots de passe
https://www.cybermalveillance.gouv.fr/tous-nos-contenus/bonnes-pratiques/mots-de-passe
2. ANSSI – Recommandations sécurité
3. NIST – Digital Identity Guidelines (SP 800-63B)
https://pages.nist.gov/800-63-3
4. OWASP – Authentication Cheat Sheet
https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html