Module 04 / 15
🔑

Sécuriser ses mots de passe et ses comptes

Créez des mots de passe solides, activez la double authentification et protégez vos comptes durablement — sans vous compliquer la vie.

⏱️ ~25 min
📚 10 leçons
🎯 Débutant
🎯 Objectif du module

À la fin de ce module, vous saurez…

  • Créer des mots de passe robustes et mémorables (phrase de passe)
  • Comprendre pourquoi réutiliser un mot de passe est dangereux
  • Configurer et utiliser un gestionnaire de mots de passe
  • Activer et utiliser la MFA (double authentification)
  • Comprendre les passkeys et l'avenir de l'authentification
1

Pourquoi les mots de passe restent une cible majeure

🎬 Mise en situation

En 2024, une base de données contenant 10 milliards de combinaisons email/mot de passe a été publiée sur un forum de hackers. Si votre mot de passe figure dedans — et si vous le réutilisez ailleurs — tous vos comptes sont en danger.

81% des violations de données impliquent des mots de passe faibles ou réutilisés (rapport Verizon 2024). Les attaquants n'ont pas besoin de "pirater" votre compte — ils essaient simplement votre email avec les mots de passe trouvés sur d'autres sites.

La bonne nouvelle : un mot de passe vraiment solide, unique par compte, et la MFA activée éliminent la grande majorité des risques liés à l'authentification.

2

Les erreurs les plus fréquentes

✗ Ce que la plupart des gens font (et ne devrait pas)

  • Utiliser des informations personnelles : prénom, date de naissance, nom d'animal
  • Mot de passe court : "Abc123!" — 8 caractères se cassent en quelques secondes
  • Réutiliser le même mot de passe partout : si un compte est compromis, tous le sont
  • Variantes simples : "Motdepasse1!" → "Motdepasse2!" → "Motdepasse3!"
  • Partager ses mots de passe par email, SMS ou post-it
  • Utiliser des mots du dictionnaire : les attaques dictionnaire les testent en secondes
3

Créer un mot de passe fort — la phrase de passe

La technique la plus efficace et la plus mémorisable : la phrase de passe. Au lieu d'un mot complexe court, utilisez 4 à 6 mots aléatoires combinés.

Exemple de phrase de passe :

Cheval-Batterie-Agrafe-Correct-27!

28 caractères · 4 mots aléatoires + chiffre + symbole · Des milliers d'années à craquer

✓ Règles de la phrase de passe

  • Minimum 16 caractères (plus c'est long, mieux c'est)
  • 4 à 6 mots vraiment aléatoires — pas une phrase connue
  • Ajoutez un chiffre et un symbole pour les sites qui l'exigent
  • Unique par compte — ne réutilisez jamais
💡
À retenir"Long et aléatoire bat court et complexe. Une phrase de 20 caractères est infiniment plus sûre que 'P@ssw0rd!'."
4

Attaques par force brute et par dictionnaire

Force brute : le programme essaie toutes les combinaisons possibles. Un mot de passe de 8 caractères avec lettres et chiffres : environ 218 milliards de combinaisons — testées en quelques heures par un ordinateur moderne.

Attaque dictionnaire : le programme teste des mots courants, des prénoms, des dates, puis leurs variantes (mot de passe → M0tdepasse → M0tdepasse1). Si votre mot de passe ressemble à un mot réel, il tombera vite.

Credential stuffing : les attaquants utilisent des bases de données de mots de passe volés pour les essayer sur d'autres sites. C'est pourquoi la réutilisation est si dangereuse.

5

La réutilisation des mots de passe — le risque le plus sous-estimé

🎬 Mise en situation

Un forum de jeux vidéo est piraté. Votre mot de passe "Gamer2019!" est volé. L'attaquant l'essaie sur votre email (trouvé sur le forum). Votre email utilise le même mot de passe. En 5 minutes, il a accès à votre email, peut réinitialiser tous vos autres comptes, et prend le contrôle de votre vie numérique.

Un seul site piraté, si vous réutilisez le même mot de passe, met en danger tous vos autres comptes. La solution : un mot de passe unique par site — ce qui est impossible à mémoriser sans un gestionnaire.

6

Utiliser un gestionnaire de mots de passe

Un gestionnaire de mots de passe génère et stocke des mots de passe uniques et complexes pour chaque site. Vous n'avez qu'un seul mot de passe maître à retenir — le gestionnaire fait le reste.

✓ Gestionnaires recommandés (gratuits/freemium)

  • Bitwarden : open source, gratuit, synchronisation multi-appareils
  • 1Password : excellent UX, payant mais très complet
  • Dashlane : version gratuite disponible, interface intuitive
  • KeePass : 100% local, open source, pour les utilisateurs avancés
ℹ️
Le gestionnaire intégré au navigateur est-il suffisant ?

Chrome, Firefox et Safari proposent leurs gestionnaires intégrés. C'est mieux que rien, mais un gestionnaire dédié offre plus de fonctionnalités et n'est pas lié à un seul navigateur.

💡
À retenir"Un mot de passe fort et unique par compte. Aucun humain ne peut les mémoriser tous — c'est pourquoi les gestionnaires existent."
7

Comprendre la MFA / 2FA

La MFA (authentification multi-facteurs) ajoute une deuxième vérification après votre mot de passe. Même si un attaquant a votre mot de passe, il ne peut pas accéder à votre compte sans ce deuxième facteur.

📱
Application OTP

Authenticator (Google, Microsoft, Authy) — code qui change toutes les 30s

💬
SMS (moins sûr)

Code reçu par SMS — pratique mais vulnérable au SIM swapping

🔐
Clé physique (FIDO2)

YubiKey — la plus sécurisée, résistante au phishing

✓ Activez la MFA en priorité sur

  • Votre email principal (porte d'entrée vers tous les autres comptes)
  • Vos comptes bancaires et financiers
  • Votre gestionnaire de mots de passe
  • Vos réseaux sociaux professionnels (LinkedIn)
8

Les limites de la MFA et la MFA Fatigue

🎬 Mise en situation

Un attaquant a le mot de passe de Thomas. Il tente de se connecter répétitivement, envoyant des dizaines de demandes d'approbation MFA sur le téléphone de Thomas. Épuisé, Thomas finit par approuver pour que les notifications arrêtent. L'attaquant est entré.

La MFA Fatigue (ou push bombing) consiste à bombarder l'utilisateur de notifications d'approbation jusqu'à ce qu'il cède par exaspération. C'est une attaque réelle qui a compromis plusieurs grandes entreprises.

✓ Se protéger contre la MFA Fatigue

  • N'approuvez jamais une demande MFA que vous n'avez pas initiée
  • Si vous recevez des notifications MFA inattendues : changez votre mot de passe immédiatement
  • Préférez les applications OTP (code à 6 chiffres) aux notifications push pour les comptes critiques
9

Découvrir les passkeys

Les passkeys sont la prochaine génération d'authentification. Elles remplacent le mot de passe par une clé cryptographique stockée sur votre appareil, déverrouillée par votre empreinte digitale, votre visage ou votre PIN local.

✓ Avantages des passkeys

  • Impossible à phisher — la clé ne quitte jamais votre appareil
  • Aucun mot de passe à mémoriser ou à taper
  • Résistant aux fuites de bases de données
  • Supporté par Google, Apple, Microsoft, GitHub, et de plus en plus de sites

Les passkeys sont encore en déploiement progressif, mais si un service vous les propose, activez-les — c'est plus sûr ET plus pratique qu'un mot de passe.

10

Sécuriser durablement ses comptes

✓ Plan d'action en 5 étapes

  • Étape 1 : Installez un gestionnaire de mots de passe (Bitwarden est gratuit)
  • Étape 2 : Changez les mots de passe de vos 5 comptes les plus importants (email, banque, RS) pour des phrases de passe uniques
  • Étape 3 : Activez la MFA sur votre email et votre gestionnaire en priorité
  • Étape 4 : Vérifiez si vos emails ont été compromis sur haveibeenpwned.com
  • Étape 5 : Migrez progressivement le reste de vos comptes vers des mots de passe uniques
💡
À retenir"Mot de passe fort + unique + MFA = 99% des attaques bloquées. Ce n'est pas compliqué, c'est une habitude à prendre."
🔑 Démo interactive

Testeur de force de mot de passe

Tapez un mot de passe pour voir sa force en temps réel. Rien n'est envoyé — tout est calculé dans votre navigateur.

12+ caractères
Majuscule
Minuscule
Chiffre
Symbole
Non commun
Temps estimé pour craquer : —
Essayez : "motdepasse" → très faible | "M0tdepasse!" → moyen | "Cheval-Batterie-Correct-2024!" → excellent

Quiz — Module 4

4 questions sur les mots de passe, la MFA et l'authentification.