← Back to Blog

Pourquoi les attaquants adorent les mots de passe créés par des humains

2025-12-23

Cet article s'appuie sur des recherches en cybersécurité accessibles au public, des rapports de l'industrie et des pratiques de sécurité largement acceptées. Là où l'expérience personnelle est mentionnée, elle est explicitement indiquée.

Une violation que la plupart ont oubliée — mais ne devraient pas

En 2012, LinkedIn a été frappé par ce qui était, à l'époque, l'une des plus grandes violations de données de l'histoire. Des analyses ultérieures ont montré qu'environ 167 millions d'enregistrements de comptes ont été exposés, et environ 117 millions d'entre eux comprenaient des adresses e-mail et des hachages de mots de passe.

Lorsque les équipes de sécurité ont examiné les mots de passe craqués, les résultats étaient douloureusement familiers. password1, linkedin123, et des choix similaires sans effort sont apparus par millions. Plus intéressant — et plus inquiétant — même les mots de passe qui semblaient intelligents, tels que L!nk3d1n2020, sont tombés rapidement. Pourquoi ? Parce qu'ils suivaient des modèles que les humains utilisent presque toujours.

J'ai passé plus de quinze ans à travailler dans les tests d'intrusion en cybersécurité. Mon travail consiste à pénétrer dans des systèmes — légalement — en utilisant les mêmes méthodes que les vrais attaquants. Les mots de passe ne sont pas un sujet théorique pour moi ; c'est quelque chose que je vois échouer dans la pratique chaque jour.

Comment les mots de passe sont réellement attaqués

Pour comprendre pourquoi certains mots de passe survivent et d'autres non, il faut regarder du côté de l'attaquant. Les attaquants ne restent pas assis à deviner les mots de passe un par un. Ils automatisent tout.

  1. Attaques par dictionnaire (Dictionary Attacks) : Elles reposent sur des collections massives de mots de passe réels, de mots, de phrases et de variations rassemblés à partir d'années de violations de données. Ces dictionnaires contiennent des milliards d'entrées et continuent de croître.
  2. Attaques basées sur des règles (Rule-Based Attacks) : Elles sont dévastatrices contre la créativité humaine. Les outils appliquent automatiquement des habitudes courantes : remplacer "o" par "0", ajouter "123" ou "!" à la fin, mettre la première lettre en majuscule, insérer une année, etc. La plupart des mots de passe "intelligents" tombent ici.
  3. Force brute (Brute Force) : Essayer toutes les combinaisons possibles. Cela semble effrayant, mais contre des mots de passe longs et vraiment aléatoires stockés avec des algorithmes de hachage modernes, la force brute devient rapidement impraticable simplement parce que cela prend trop de temps.

Le problème avec les mots de passe créés soi-même

Nous aimons les mots de passe que nous inventons nous-mêmes car ils semblent personnels et mémorables. Malheureusement, la recherche — et l'expérience — montre qu'ils sont aussi hautement prévisibles.

  • Les motifs se répètent : Des études à grande échelle, y compris des travaux de l'Université Carnegie Mellon, montrent constamment les mêmes structures : un mot ou un nom, une majuscule au début, et des chiffres ou des symboles à la fin. Le contenu change, mais la forme reste la même. Une fois que les attaquants modélisent cette structure, le craquage devient considérablement plus rapide.
  • La longueur plafonne : La plupart des mots de passe créés par les utilisateurs se situent entre 8 et 10 caractères. Non pas parce que les gens ne savent pas que plus long est plus sûr, mais parce que la mémoire nous pousse vers des chaînes plus courtes.
  • Les informations personnelles s'infiltrent : Anniversaires, noms d'animaux, dates commémoratives — les gens les utilisent constamment. Et à l'ère des réseaux sociaux, les attaquants n'ont souvent même pas besoin de deviner.

Pourquoi les mots de passe aléatoires jouent un jeu différent

Un mot de passe créé par un générateur de mots de passe aléatoires sécurisé — quelque chose comme r8$NpL#2qW9 — n'est pas juste "plus complexe". C'est fondamentalement différent.

Chaque caractère est choisi indépendamment. Il n'y a pas de mots, pas de substitutions, pas de logique humaine. Ce simple fait supprime les outils les plus puissants de l'attaquant : les dictionnaires et les règles.

D'un point de vue chiffré :

  • Un mot de passe de 8 caractères utilisant uniquement des minuscules a environ 26⁸ possibilités (~209 milliards).
  • Ajoutez des majuscules, des chiffres et des symboles, et vous passez soudainement à environ 95⁸ (~6 quadrillions).
  • Poussez cela à 12 caractères et l'espace devient astronomiquement grand.

Mais le véritable avantage n'est pas seulement la taille — c'est que les mots de passe aléatoires forcent les attaquants à utiliser la force brute, ce qui est lent, coûteux et souvent ne vaut pas l'effort.

À quoi ressemble le craquage de ces mots de passe en pratique

Du point de vue d'un testeur d'intrusion, la différence est frappante :

| Type de mot de passe | Exemple | Méthode de l'attaquant | Temps pour craquer | | :--- | :--- | :--- | :--- | | Créé soi-même | Tiger2021! | Dictionnaire & Basé sur des règles | Minutes à Heures | | Généré aléatoirement | r8$NpL#2qW9 | Force brute pure | Années / Siècles |

Si le mot de passe est correctement haché avec quelque chose comme bcrypt ou Argon2, la force brute contre la chaîne aléatoire implique un délai qui rend l'attaque infaisable. Dans la plupart des cas réels, l'attaquant passe simplement à autre chose.

Le vrai compromis : Humains vs Hasard

La plus grande faiblesse des mots de passe aléatoires n'est pas la sécurité — c'est l'utilisabilité. Les humains sont terribles pour se souvenir de chaînes sans signification. C'est la tension centrale dans la sécurité des mots de passe :

  • Les mots de passe que les humains retiennent bien ont tendance à être faibles.
  • Les mots de passe qui sont forts ont tendance à être inoubliables.

Les pratiques de sécurité modernes existent pour combler ce fossé.

Ce qui fonctionne réellement aujourd'hui

Basé sur le consensus de l'industrie et l'expérience du monde réel :

  1. Utilisez un gestionnaire de mots de passe : Des outils comme Bitwarden ou 1Password vous permettent de compter sur un seul mot de passe maître fort tandis que tout le reste est long, aléatoire et unique. C'est largement considéré comme la meilleure option pour la plupart des gens.
  2. Si vous devez mémoriser, utilisez la longueur : Une chaîne de mots sans rapport (par exemple coffee-zebra-battery-stapler) est souvent plus résistante aux attaques — et plus facile à retenir — qu'un mot de passe court et chargé de symboles.
  3. Ne réutilisez jamais les mots de passe : Une fois qu'un site est compromis, la réutilisation le transforme en effet domino.
  4. Activez la MFA : E-mail, banque, comptes cloud — utilisez toujours l'authentification multifacteur.
  5. Vérifiez l'exposition aux violations : Des services comme Have I Been Pwned vous permettent de voir si votre e-mail apparaît dans des ensembles de données de violation connus.

Dernières réflexions

Ce n'est pas un débat philosophique pour savoir si les humains ou les machines font de "meilleurs" mots de passe. C'est une question de gestion des risques.

Les ordinateurs sont bons pour générer du hasard. Les humains sont bons pour protéger un seul secret et répondre à des invites comme la MFA. L'approche la plus sûre est de laisser chacun faire ce qu'il fait de mieux.

Prêt à améliorer votre sécurité ? Générez un mot de passe fort hors ligne maintenant pour protéger vos comptes immédiatement.