Les fuites de données font la une régulièrement et sèment un vent d'inquiétude, surtout lorsqu'il s'agit de nos mots de passe. Ils peuvent ainsi être utilisés, revendus, réutilisés, modifiés pour nous empêcher d'accéder à nos comptes en ligne.

Bref, avoir un mot de passe fort est indispensable pour assurer la sécurité de nos informations, même s'il n'entrave pas les risques de fuites de données. Comme la fuite de donnée qui a secoué Internet en juin 2025, il ralentit la progression des pirates, qui s'attaquent d'abord aux mots de passe plus simples à exploiter. Mais qu'est-ce qu'un mot de passe sécurisé exactement et comment le générer ? On vous dit tout !

Mots de passe forts, mots de passe faibles, quelles différences ?
Les mots de passe faibles
Pour pouvoir créer un mot de passe sécurisé fort, il faut comprendre en premier lieu ce qu'est un mot de passe faible.
Des études sont menées régulièrement, avec comme base les fuites de données justement, afin de pointer du doigt les mots de passe les plus faibles, ceux qu'un pirate ne mettra que quelques secondes à casser. Parmi eux, les éternels jumeaux "azerty" et "qwerty", les plus recherchés "azertyuiop", ceux pour les amoureux des chiffres, "123", "1234", "12345", etc.
Dans une étude sur la sécurité réalisée par l’organisme britannique National Cyber Security Centre (NCSC) sur les 100 000 codes les plus concernés par des cyberattaques, on apprend que les suites de chiffres « 123456 » et « 123456789 » sont respectivement utilisés par 23,6 et 7,7 millions d’internautes !
Vous l'avez compris, ce genre de mot de passe s'offre comme du pain béni pour les pirates en tous genres. Et ce, pour plusieurs raisons. D'abord parce qu'ils sont spécialement faits pour être facilement retenus (suite de touches sur le clavier, dates de naissance…). Ensuite parce qu'ils ne comportent que des lettres ou des chiffres. Évitez également les schémas trop évidents : une majuscule suivie de lettres minuscules puis de chiffres et caractères spéciaux ou symboles, une phrase dont les premières lettres de chaque mot sont en majuscule (ou une phrase tout simplement)… Ce sont des moyens mnémotechniques que connaissent bien les pirates et qui n'assurent pas du tout votre sécurité. Enfin, exit les surnoms et prénoms de vos proches et de vos animaux, bien trop faciles à trouver en ligne (sur vos comptes de réseaux sociaux par exemple) par quelqu'un d'un peu entraîné.
Les attaques en "brute force" testent prioritairement les mots de passe faibles, avant de monter au niveau supérieur de complexité. Ces mots de passe non sécurisés sont donc les premières cibles d'actes malveillants et, parfois, les seules.
Autre méthode : les "attaques par dictionnaire". Les pirates utilisent les listes de noms communs référencés par les dictionnaires disponibles sur le Web pour tenter de pénétrer vos comptes en ligne. Afin d'optimiser leurs chances de réussite, ils les combinent parfois avec des chiffres, des lettres et des symboles placés au début ou à la fin du mot de passe. Si vous pensez que "123fourchette" est un mot de passe drôle et unique, sachez que les scripts des hackers sont de plus en plus sophistiqués et rapides, et qu'ils n'en feront qu'une bouchée, quel que soit le service visé.
Comment créer un mot de passe fort et sécurisé ?
La plupart des sites obligent désormais les utilisateurs à respecter certaines règles de sécurité pour générer leur mot de passe. En l'occurrence, il s'agit souvent des points suivants :
- Un nombre de caractères minimum (souvent 12, mais le plus long est le mieux)
- Au moins 1 majuscule
- Au moins 1 minuscule
- Au moins 1 caractère spécial
- Au moins 1 chiffre
Idéalement, ces caractères doivent être placés dans un ordre aléatoire, évitez donc une phrase de type "CoucouClubic2025!"… Si vous souhaitez un mot de passe sécurisé et aléatoire que vous ne risquez pas d'oublier, la plupart des gestionnaires de mots de passe contiennent un générateur automatique de mot de passe sécurisé. En revanche, nous vous déconseillons de confier cette tâche à un pseudo générateur de mot de passe par intelligence artificielle, qui n'est pas du tout un outil sécurisé. Oubliez donc les prompts du type "Bonjour ChatGPT, je voudrais un mot de passe sécurisé, s'il te plaît".
Mot de passe sécurisé : les bonnes pratiques
Ne réutilisez pas votre mot de passe
Utilisation de caractères aléatoires, consignes de sécurité respectées, vous pensez avoir trouvé le mot de passe imparable, le mot de passe parfait.
Seulement voilà, il est tellement parfait que vous avez peur de l'oublier. Pour ne pas que cela arrive, vous l'apprenez par cœur et l'utilisez pour chaque service dont vous disposez : mail, banque, cloud…
D'après une étude menée en 2021 par LastPass, 65 % des utilisateurs déclarent employer toujours ou la plupart du temps le même mot de passe. Et ce n'est pas une bonne idée !
Si quelqu'un réussi à découvrir votre mot de passe, il commencera par le tester sur tous vos comptes, y compris si les combinaisons de caractères, lettres, chiffres et symboles sont aléatoires.
Un gestionnaire de mot de passe peut vous prévenir lorsqu'un même mot de passe enregistré dans votre coffre-fort est utilisé pour plusieurs services.
Ne notez pas votre mot de passe
Votre mot de passe doit être fort, en suivant les règles que nous avons vues, mais pour être sécurisé, il n'est pas question de le noter dans un fichier Word, un mail, une note Evernote, un tableur Excel ou un carnet en papier !
Le meilleur moyen est la mémorisation de vos mots de passe ou l'utilisation d'un gestionnaire de mot de passe qui, par exemple, est déverrouillé par biométrie : votre empreinte digitale est obligatoire pour y avoir accès.
Ainsi, si votre mot de passe n'a été utilisé que sur un site et que celui-ci est la cible d'une fuite de données, il vous suffit de changer votre mot de passe sur le site en question. Même si le mot de passe circule, notamment sur le Dark Web, il ne pourra donner accès à aucun de vos autres services.
Optez pour un gestionnaire de mots de passe
Si tous n'offrent pas les mêmes fonctionnalités, la plupart des gestionnaires de mots de passe ont les avantages suivants :
- Ils stockent les mots de passe de manière sécurisée et les déverrouillent via un mot de passe maître ou une donnée biométrique.
- Ils trient les mots passe par catégories.
- Ils indiquent si un mot de passe est fort ou faible.
- Ils aident au remplissage des champs de saisie de mot de passe sur les sites, toujours de façon sécurisée.
- Ils fonctionnent comme un générateur de mots de passe forts.
- Ils indiquent si un mot de passe a été compromis.
- Ils se synchronisent sur plusieurs appareils (ordinateur, smartphone…).
Méfiez-vous des mails douteux !
Vous avez reçu un mail alarmant, émanant apparemment d'une institution publique ou de votre banque, qui vous invite à réinitialiser vos identifiants au plus vite en cliquant sur un bouton ? Attention, vous êtes peut-être victime de phishing ou hameçonnage. Si vous suivez les instructions, vous allez être dirigé vers un faux site, saisir vos identifiants et les livrer ainsi sur un plateau d'argent aux pirates !
Les bons réflexes face à ce type de message :
- Vérifiez l'adresse mail de l'expéditeur : le nom de domaine doit être cohérent ([email protected] et pas [email protected]).
- Vérifiez l'apparence du mail : la mise en page doit être propre, le logo ne doit pas être flou ni pixellisé.
- Vérifiez l'orthographe : il ne doit pas y avoir de fautes ni de caractères inconnus.
Les techniques de phishing sont de plus en plus peaufinées. Sachez, par exemple, qu'il existe sur le Dark Web des offres d'emploi pour trouver des rédacteurs ou correcteurs "professionnels" afin d'envoyer des mails de phishing impeccables !
Faites attention à ce que vous téléchargez !
Avant de télécharger et d'installer une nouvelle appli :
- Vérifiez qu'elle provient d'une plateforme officielle (Play Store et App Store pour les smartphones, site de l'éditeur pour les ordinateurs).
- Vérifiez qu'elle émane d'un contact fiable (lorsqu'elle se trouve sur une clé USB par exemple).
- Vérifiez qu'elle a été développée par un éditeur légitime.
Si vous n'y prenez garde, vous pourriez installer de votre plein gré sur votre système un malware qui ponctionne vos informations personnelles ou enregistre vos frappes (keylogger) et, donc, vos mots de passe.
- Interface fluide et intuitive
- Sécurité des apps vérifiée
- Intégration avec iCloud
- Grande diversité d’applications (+2,5 millions)
- Intégration avec les services Google
- Interface utilisateur intuitive
Changez de mot de passe fréquemment
Bien sûr, il faut immédiatement changer de mot de passe lors d'une fuite de données ou si le site en question vous avertit d'une activité douteuse sur votre compte.
Mais il est recommandé aussi de modifier votre mot de passe régulièrement, idéalement tous les 90 jours. Mieux vaut prévenir que guérir !
Certains gestionnaires de mot de passe peuvent vous rappeler de le faire.
Activez l'authentification à double facteur
L'authentification à double facteur renforce la protection de l'accès aux comptes. En plus des informations d'identification classiques (nom d'utilisateur et mot de passe, idéalement créé par un générateur), les internautes sont invités à confirmer leur identité avec un code à usage unique envoyé sur leur téléphone ou par mail. Grâce à la double authentification, il n’est plus possible pour un attaquant d’accéder à un compte, même s’il est parvenu à en obtenir le mot de passe.
Comment savoir si mes informations personnelles ont fait l'objet d'une fuite ?
Lors d'une fuite de données, des listes circulent parfois sur Internet. Méfiez-vous toutefois de leur provenance. Faites plutôt confiance au site de la CNIL pour les informations liées à la cybersécurité.
En revanche, vous pouvez facilement savoir si votre adresse mail (qui sert souvent d'identifiant sur les sites Web) a été compromise. Pour cela, rendez-vous sur le site Have I Been Pwned. Attention cependant : s'il est indiqué que votre adresse mail a fait l'objet d'une fuite de données, cela ne signifie pas qu'elle a été utilisée de façon malveillante. Mais il pourrait que ça le soit à l'avenir, car elle circule sur le Web, associée probablement à d'autres de vos informations personnelles.
Enfin, certaines entreprises préviennent leurs clients lorsqu'elles ont été l'objet d'une fuite de données.
27 juin 2025 à 17h03