Bien choisir son mot de passe, ce n’est pas “trouver un truc compliqué” au hasard. C’est surtout comprendre comment les mots de passe sont attaqués (pour éviter les pièges classiques), puis adopter une méthode simple, reproductible et réaliste au quotidien.
Comprendre le risque : comment un mot de passe est “cassé”
Dans la plupart des cas, un pirate ne tente pas sa chance “à l’intuition”. Il s’appuie sur des outils automatisés capables d’essayer très vite un grand nombre de combinaisons, surtout quand les mots de passe ont fuité (via une base de données volée) et peuvent être testés hors ligne.
Deux familles d’attaques reviennent souvent :
- Les attaques par dictionnaire : l’outil essaie des mots fréquents et leurs variantes (dictionnaire, prénoms, noms d’animaux, villes, équipes, expressions courantes, etc.).
- Les attaques par force brute : l’outil teste méthodiquement des combinaisons de lettres/chiffres/symboles jusqu’à trouver la bonne.
L’objectif n’est pas de créer un mot de passe “impossible”, mais de le rendre coûteux en temps à casser et peu rentable à attaquer.
Ce qu’il ne faut pas faire
1) Utiliser des informations personnelles ou évidentes
Évitez les mots de passe basés sur :
- un mot du dictionnaire (nom commun, animal, lieu) ;
- un nom propre (vous, vos proches, votre équipe, votre chanteur préféré) ;
- des infos faciles à trouver ou à deviner (date de naissance, plaque, code postal, etc.).
Pourquoi ? Parce que ces éléments sont précisément ce que les outils testent en premier (attaques par dictionnaire). Et parce qu’une personne qui vous connaît, ou qui vous “profile” via vos réseaux, peut tenter des combinaisons évidentes.
2) Réutiliser le même couple identifiant / mot de passe
Un piège classique consiste à mettre le même code pour le login et le mot de passe, ou à réutiliser un même mot de passe sur plusieurs sites. Le problème, c’est l’effet domino : si un seul service est compromis, les attaquants testent ensuite automatiquement ces identifiants ailleurs (messagerie, réseaux sociaux, banque, etc.).
La question utile à se poser est : quels sont les comptes qui donnent accès aux autres ? L’e-mail principal est souvent le plus critique, car il sert à réinitialiser beaucoup d’accès. Autre exemple : un compte qui permet d’ajouter un moyen de paiement, de gérer des sauvegardes, ou d’accéder à des documents professionnels.
3) Choisir des suites “populaires” ou prévisibles
Les suites comme « 123456 », « abcdef », « password » ou « internet » font partie des premières testées. Attention aussi aux “fausses améliorations” :
- ajouter un caractère à la fin ;
- remplacer des lettres par des chiffres de façon connue (a→@, e→3, o→0) ;
- répéter un schéma (“MotDePasse2026!”) ;
Ces variantes sont intégrées dans les listes et règles de test des outils automatisés.
4) Le noter n’importe où (ou l’enregistrer sans protection)
Un mot de passe collé sur un post-it, écrit dans un carnet laissé sur le bureau, ou stocké dans un fichier texte sur l’ordinateur, revient souvent à laisser la clé sur la porte. Le risque n’est pas seulement le piratage à distance : c’est aussi la consultation par une personne de passage, une perte/vol de matériel, ou une synchronisation cloud mal maîtrisée.
Si vous devez conserver un mot de passe, faites-le dans un endroit conçu pour ça (gestionnaire, coffre chiffré), et protégez l’accès principal avec un mot de passe fort (et idéalement une authentification à deux facteurs).
Le critère n°1 : la longueur (plus que la “complexité”)
Un mot de passe long résiste mieux aux attaques par force brute, parce qu’il augmente fortement le nombre de combinaisons possibles. On a longtemps parlé de 8 caractères, mais aujourd’hui, pour un compte important, gardez en tête ces ordres de grandeur :
- 12 caractères minimum pour un usage courant ;
- 14 à 16+ caractères pour l’e-mail principal, la banque, les services pro, ou tout ce qui est sensible.
Un point important : “complexe” ne veut pas dire “solide”. Un mot de passe court avec des symboles peut rester rapide à tester. À l’inverse, une phrase longue (même sans symboles exotiques) peut être très résistante si elle n’est pas évidente.
Une méthode efficace : partir d’une phrase et la transformer
Plutôt que d’inventer un “mot” (souvent devinable), partez d’une phrase qui a du sens pour vous, puis transformez-la avec une règle simple. L’enjeu : obtenir quelque chose de long, mémorisable et difficile à deviner.
- Choisissez une phrase mémorisable (évitez une citation trop connue, une réplique culte, ou une phrase liée à votre identité).
- Gardez une structure régulière : initiales, une lettre sur deux, ou une règle stable que vous pouvez reproduire.
- Ajoutez des éléments stables (ponctuation, majuscules, chiffres) sans tomber dans les schémas trop classiques.
Exemple avec un acronyme
La phrase « A l’université, mon coloc’ venait d’une station de Haute-Savoie » peut devenir : « AlumcvdusdHS ».
Renforcer sans rendre la méthode fragile
Renforcer un mot de passe, oui, mais sans créer une usine à gaz que vous finirez par simplifier (ou noter en clair). Pour rester solide et praticable :
- insérez un nombre à un endroit que vous gardez constant ;
- mélangez majuscules/minuscules selon une règle simple (par exemple, la première lettre de chaque “mot”) ;
- ajoutez un séparateur (tiret, point, underscore) si le service l’accepte.
Exemple : « AlumcvdusdHS » peut devenir « Alu26984mcvdusdHS ».
Dernier conseil pratique : évitez les “variantes par site” trop prévisibles du type “Amazon1!”, “Amazon2!”. Si vous avez beaucoup de comptes, un gestionnaire de mots de passe devient vite la solution la plus simple pour avoir un mot de passe unique et long partout, sans effort de mémorisation.
Les bonnes questions à se poser avant de “valider” un mot de passe
- Est-ce que quelqu’un qui me connaît (ou qui voit mes réseaux) pourrait le deviner ?
- Est-ce que je le réutilise ailleurs (même avec une petite variante) ?
- Est-ce qu’il est assez long pour résister à des tests automatisés ?
- Est-ce que je pourrai le retenir sans l’écrire en clair ?
- Si ce compte est piraté, qu’est-ce que l’attaquant peut faire ensuite (réinitialiser d’autres accès, récupérer des données, acheter, usurper mon identité) ?