Le Conseil Qui Affaiblit Vos Mots de Passe
"Utilisez une majuscule, un chiffre et un caractere special." Vous l'avez entendu des milliers de fois. Votre banque l'exige. Votre employeur l'impose. Les services informatiques du monde entier le repetent comme un mantra.
Il y a un probleme: le National Institute of Standards and Technology (NIST), l'agence federale americaine qui fait autorite en matiere de securite des mots de passe, a mis a jour ses recommandations en 2017 pour dire exactement l'inverse. La Publication Speciale NIST 800-63B recommande explicitement contre les regles de complexite forcee et les renouvellements periodiques obligatoires. La raison n'est pas philosophique. Elle est mathematique.
Comment Fonctionne Vraiment le Craquage de Mots de Passe en 2026
Quand un pirate obtient une base de donnees de mots de passe voles, il ne devine pas un mot de passe a la fois. Il utilise un systeme de craquage automatise. Une seule carte graphique NVIDIA RTX 4090 peut tester environ 300 milliards de combinaisons de hachages NTLM par seconde. Pas par heure. Par seconde.
Face a cette puissance de calcul, voici ce que montre la table de Hive Systems 2024 pour des mots de passe utilisant majuscules, minuscules, chiffres et symboles (94 caracteres possibles par position):
| Longueur du mot de passe | Temps de craquage (RTX 4090) |
|---|---|
| 8 caracteres | 59 minutes |
| 10 caracteres | 5 mois |
| 12 caracteres | 226 ans |
| 14 caracteres | 2 millions d'annees |
| 16 caracteres | 92 milliards d'annees |
Le saut de 8 a 12 caracteres n'est pas lineaire. Il est exponentiel. C'est le resultat direct de l'entropie des mots de passe.
Les Mathematiques de l'Entropie
La force d'un mot de passe se mesure en bits d'entropie. La formule est simple:
E = L x log2(R)
Ou:
- E est l'entropie en bits
- L est la longueur du mot de passe en caracteres
- R est la taille du pool de caracteres (minuscules uniquement = 26, ajouter majuscules = 52, ajouter chiffres = 62, ajouter symboles = 94)
Un mot de passe de 8 caracteres utilisant les 94 caracteres ASCII imprimables obtient:
8 x log2(94) = 8 x 6,55 = 52,4 bits d'entropie
Un mot de passe de 16 caracteres utilisant uniquement des minuscules obtient:
16 x log2(26) = 16 x 4,70 = 75,2 bits d'entropie
Plus de bits d'entropie avec un jeu de caracteres plus simple, uniquement parce que la longueur domine l'equation. C'est precisement pourquoi le NIST privilegia la longueur a la complexite.
Les 5 Schemas que les Hackers Ciblent Avant la Force Brute
Les outils de craquage modernes ne commencent pas par tester toutes les combinaisons possibles. Ils demarrent avec des attaques basees sur des regles ciblant les comportements humains les plus courants, car les choix humains sont previsibles:
1. Mots du dictionnaire avec substitutions de caracteres. "P@ssw0rd" est craque instantanement par chaque outil moderne. Hashcat inclut des regles pre-construites pour toutes les substitutions courantes: a devient @, e devient 3, o devient 0, s devient $. Ces substitutions n'ajoutent pas de securite reelle.
2. Mot suivi de chiffres. "Ete2024", "Football123", "MotDePasse1!". Les analyses post-violation montrent que ce schema represente plus de 40% des identifiants craques dans les entreprises.
3. Sequences sur le clavier. "azerty", "1qaz2wsx", "qsdfgh". Chaque dictionnaire de craquage inclut des milliers de sequences adjacentes au clavier. Si vos doigts ont a peine bouge en tapant le mot de passe, un outil le trouvera en moins d'une seconde.
4. Schemas repetes ou a faible entropie. "aaaaaa1!", "abcabc!", "121212ab". Les outils de craquage mesurent la frequence des caracteres et la densite de caracteres uniques.
5. Mots de passe precedemment compromis. Have I Been Pwned (HIBP) indexe actuellement plus de 13 milliards de mots de passe compromis uniques. Si votre mot de passe apparait dans cette base de donnees, il sera identifie en millisecondes, quelle que soit sa complexite apparente.
Ce que le NIST Recommande Vraiment
La Publication Speciale NIST 800-63B, Section 5.1.1, contient trois exigences qui contredisent les regles que la plupart des organisations imposent encore aujourd'hui:
Exigence 1: Minimum 8 caracteres, avec une forte recommandation pour 15 ou plus. Les exigences de complexite sont decrites comme optionnelles. La longueur est le principal facteur de securite.
Exigence 2: Pas de renouvellements periodiques forces. Obliger les utilisateurs a changer de mot de passe tous les 90 jours produit des resultats tres previsibles: les utilisateurs incrementent un chiffre a la fin, mettent une majuscule en debut ou effectuent le changement minimal possible. Un mot de passe stable de 16 caracteres est nettement plus securise qu'un nouveau mot de passe de 8 caracteres.
Exigence 3: Verifier les nouveaux mots de passe par rapport aux bases de donnees de violations connues. Rejeter tout mot de passe figurant dans une liste compromise connue, et non les mots de passe simplement utilises depuis 90 jours.
La mise a jour 2025 du NIST SP 800-63B-4 a encore renforce ces positions, stipulant que les verificateurs "ne doivent pas imposer d'autres regles de composition" au-dela de la longueur minimale.
Le Framework Pratique pour des Mots de Passe Vraiment Solides
Minimum 16 caracteres pour tout compte protegant des donnees financieres, professionnelles ou personnelles. Le temps de craquage a cette longueur, meme avec le materiel le plus rapide disponible aujourd'hui, se compte en milliards d'annees.
Utilisez des phrases de passe quand la memorisation compte. Quatre mots aleatoires et sans rapport ("violet pluie prise marbre") produisent environ 74 bits d'entropie et sont beaucoup plus faciles a retenir que "P@ssw0rd!" tout en etant des ordres de grandeur plus difficiles a craquer.
Mot de passe unique pour chaque compte, sans exception. La reutilisation des mots de passe est la cause la plus courante de compromission de compte. Une seule violation sur un site a faible securite expose votre email, banque et reseaux sociaux si vous reutilisez des mots de passe.
N'incluez jamais d'informations personnellement identifiables. Les annees de naissance, les noms d'enfants, les noms d'animaux et les noms de villes sont utilises dans des attaques ciblees contre des individus specifiques.
Questions Frequentes
A quelle frequence dois-je changer mon mot de passe?
Selon le NIST SP 800-63B, vous devez changer un mot de passe quand il y a des preuves de compromission, pas selon un calendrier fixe. Un mot de passe fort et unique qui n'a pas ete compromis ne devient pas moins securise avec le temps.
Les gestionnaires de mots de passe sont-ils surs?
Oui. Un gestionnaire de mots de passe avec un mot de passe principal fort est nettement plus sur que la reutilisation de mots de passe memorables sur plusieurs sites.
Un mot de passe de 12 caracteres suffit-il en 2026?
Pour la plupart des comptes personnels, oui. 226 ans a la vitesse actuelle des GPU represente une securite pratique. Pour les cibles de haute valeur, 16 caracteres ou plus est le choix le plus sur.