Mots de passe et gestionnaires de secrets — Sensibilisation Essentielle

Objectifs d'apprentissage

Expliquer ce qui rend un mot de passe fort et comment les attaques par force brute fonctionnent
Configurer et utiliser un gestionnaire de mots de passe professionnel
Comprendre comment les mots de passe sont stockes et pourquoi les hashage avec sel est important

Anatomie d'un mot de passe fort

Un mot de passe fort en 2025 : longueur minimale de 16 caracteres (la longueur prime sur la complexite), aleatoire ou utilisant une phrase de passe (passphrase), unique pour chaque service. Les regles de complexite imposees (chiffres, majuscules, caracteres speciaux) conduisent souvent a des mots de passe previsibles (Password1! est faible malgre les 4 types de caracteres). NIST SP 800-63B recommande de privilegier la longueur et d'abandonner les expirations periodiques obligatoires.

🔔 À retenir : Une phrase de passe comme 'MonChienMangeDes3Croquettes!' est bien plus forte qu'un mot de passe court complexe comme 'P@ss1!'. Elle est aussi plus facile a memoriser. Longueur > Complexite.

Gestionnaires de mots de passe : la seule solution viable

Un humain ne peut pas memoriser 100 mots de passe uniques et forts. La solution : un gestionnaire de mots de passe (Bitwarden, 1Password, Dashlane). Il genere, stocke et remplit automatiquement des mots de passe uniques et forts pour chaque service. Le mot de passe maitre (master password) est le seul a memoriser. Pour une PME : privilegier un gestionnaire d'equipe avec partage securise des credentials d'entreprise et journalisation des acces.

⚠ Attention : Bitwarden est open source, audite, et offre une version equipe abordable. 1Password Teams est excellent pour les PME avec partage de coffres et gestion des droits. Eviter de partager des credentials par email ou Slack.

Comment les mots de passe sont stockes (et voles)

Un service web bien concu ne stocke jamais le mot de passe en clair : il calcule un hash cryptographique (bcrypt, Argon2) avec un sel aleatoire unique par utilisateur. Lors d'une violation de base de donnees, les attaquants obtiennent ces hashes et tentent de les cracker par dictionnaire ou force brute. Argon2 et bcrypt sont lents par conception, rendant le cracking couteux. MD5 et SHA-1 sont trop rapides et ne doivent plus etre utilises pour les mots de passe.

Checklist pratique

Tous les employes utilisent un gestionnaire de mots de passe pour leurs comptes professionnels

Les credentials partages (comptes de service, acces partenaires) sont geres dans un coffre d'equipe

La politique de mots de passe impose une longueur minimale de 14 caracteres (NIST SP 800-63B)

Votre progression est sauvegardée localement dans votre navigateur.

Points clés à retenir

Longueur > complexite : 20 caracteres aleatoires battent toujours un mot de passe court 'complexe'
Un mot de passe unique par service = une violation n'expose qu'un seul compte
Gestionnaire de mots de passe d'equipe = la seule facon viable de gerer les credentials partagees
Argon2/bcrypt pour stocker les mots de passe : MD5/SHA-1 ne sont pas acceptables