Soyez honnête – à quand remonte la dernière fois que vous avez créé un mot de passe vraiment robuste et unique pour un nouveau compte? Pas réutilisé un ancien favori avec un chiffre légèrement différent à la fin. Pas remplacé un « a » par un « @ » en vous disant que c’était suffisant. Un mot de passe véritablement nouveau, aléatoire et unique.
Si vous ressentez un petit pincement de culpabilité en ce moment, vous êtes en très bonne compagnie. Le 7 mai est le Jour mondial du mot de passe, et cette année, au lieu de répéter les conseils habituels sur la création de mots de passe plus robustes (vous connaissez déjà cette partie), parlons de quelque chose de plus intéressant : pourquoi nous continuons à faire les mêmes erreurs même quand nous savons quoi faire.
L’écart entre savoir et agir
Voici le paradoxe. Nous avons de meilleurs outils de sécurité à notre disposition que jamais auparavant. Les gestionnaires de mots de passe sont plus faciles à utiliser. L’authentification multifacteur est plus largement disponible. Une technologie plus récente appelée clés d’accès (nous y reviendrons dans un instant) rend les mots de passe eux-mêmes optionnels sur de nombreux sites. Et pourtant, les chiffres racontent une tout autre histoire.
La personne moyenne gère maintenant environ 300 mots de passe pour ses différents comptes – près du double d’il y a quelques années à peine. Et les études montrent systématiquement que la grande majorité de ces mots de passe sont soit faibles, soit réutilisés, soit les deux. L’adoption des gestionnaires de mots de passe a atteint environ 35 % des internautes, ce qui représente un réel progrès – mais cela signifie tout de même que près de deux personnes sur trois gèrent leurs identifiants manuellement ou comptent sur leur navigateur pour les retenir.
Nous connaissons les règles. Nous ne les suivons tout simplement pas. Et il y a de vraies raisons à cela.
Pourquoi notre cerveau travaille contre nous
La fatigue liée aux mots de passe est plus qu’un simple désagrément – c’est un véritable fardeau cognitif. Face à la tâche de créer et de mémoriser des centaines de mots de passe uniques et complexes, notre cerveau fait ce pour quoi il est conçu : prendre des raccourcis.
Nous réutilisons des mots de passe parce que cela réduit la charge mentale. Nous ajoutons des variations prévisibles – en remplaçant un « 1 » par un « 2 » à la fin, en changeant la saison de « Été » à « Hiver » – parce que nous avons l’impression de faire quelque chose sans l’effort de repartir de zéro. Nous nous disons que nos comptes ne sont pas assez importants pour mériter d’être protégés correctement. Et nous remettons à plus tard la configuration d’un gestionnaire de mots de passe parce que cela semble être un gros projet pour « un jour ».
Ça vous dit quelque chose? Ce ne sont pas des signes de négligence. Ce sont des réponses humaines parfaitement normales à une demande cognitive déraisonnable. Le problème, c’est que les cybercriminels comptent exactement sur ces raccourcis.
Les règles ont réellement changé (pour le mieux)
Voici une bonne nouvelle. Le National Institute of Standards and Technology (NIST), qui établit la référence en matière de directives de cybersécurité, a fondamentalement mis à jour ses recommandations en matière de mots de passe – et elles sont beaucoup plus adaptées à l’humain que ce à quoi vous pourriez vous attendre.
Les anciennes règles – exiger des caractères spéciaux, mélanger les majuscules et les minuscules, forcer les changements de mot de passe tous les 90 jours – sont dépassées. Le NIST a constaté que ces règles ne rendent pas réellement les mots de passe plus sécuritaires. Elles les rendent simplement plus difficiles à gérer pour les humains, ce qui mène exactement au type de solutions de contournement prévisibles qui affaiblissent la sécurité.
La nouvelle directive? La longueur compte bien plus que la complexité. Une phrase de passe de 15 caractères ou plus – même juste quelques mots aléatoires consécutifs – est nettement plus sécuritaire qu’un court mélange cryptique de symboles que vous ne retiendrez jamais. Quelque chose comme « SingePourpreLaveVaisselle » est à la fois plus robuste et plus facile à retenir que « 7dEuW$kM »
C’est un changement significatif : au lieu de lutter contre le fonctionnement de notre cerveau, les nouvelles directives travaillent avec lui.
Ne demandez pas à l’IA de créer vos mots de passe
En parlant de choses qui semblent logiques mais qui ne fonctionnent pas – si vous avez déjà pensé à demander à ChatGPT, Claude ou un autre agent conversationnel IA de générer des mots de passe pour vous, voici une surprise : des chercheurs ont découvert que les mots de passe générés par l’IA ne sont en fait pas sécuritaires.
La raison tient à la façon dont ces outils fonctionnent. Les agents conversationnels IA sont conçus pour prédire le prochain caractère le plus probable dans une séquence – ce qui est essentiellement le contraire du hasard. Lorsque des chercheurs ont testé la création de mots de passe sur plusieurs grandes plateformes d’IA, ils ont constaté que les résultats étaient hautement prévisibles et suivaient des modèles reconnaissables. Dans un test, un agent conversationnel a généré le même mot de passe 10 fois sur 50.
En apparence, ces mots de passe générés par l’IA semblent robustes – ils sont un mélange de lettres, de chiffres et de symboles. Mais les pirates peuvent exécuter les mêmes requêtes et collecter les résultats, créant ainsi une banque de mots de passe probables à essayer lors de tentatives d’intrusion.
La leçon? Laissez la création de mots de passe aux outils réellement conçus pour être aléatoires – comme les générateurs intégrés dans les gestionnaires de mots de passe, qui utilisent des méthodes cryptographiques plutôt que la prédiction pour créer des résultats véritablement uniques.
L’avenir est déjà là : les clés d’accès
Si garder la trace de centaines de mots de passe vous semble épuisant, il y a une raison pour laquelle les plus grands noms de la technologie travaillent à les rendre inutiles. Les clés d’accès sont une technologie d’authentification plus récente qui gagne rapidement du terrain – et elles méritent d’être connues.
Voici la version simple : une clé d’accès transforme votre appareil en identifiant. Au lieu de taper un mot de passe, vous vous authentifiez en utilisant le lecteur d’empreintes digitales de votre téléphone intelligent, la reconnaissance faciale ou le NIP. La clé d’accès est stockée de façon sécuritaire sur votre appareil, et il n’y a rien à retenir, rien à taper et – point crucial – rien qui puisse être hameçonné, deviné ou volé lors d’une violation de données.
Les clés d’accès sont déjà disponibles sur bon nombre des services que vous utilisez au quotidien. Près de la moitié des 100 sites Web les plus populaires au monde les prennent maintenant en charge, y compris Google, Amazon, Apple et Microsoft. Si vous n’avez pas encore essayé d’en configurer une, votre prochaine connexion à l’un de ces services pourrait être le bon moment pour explorer cette option.
Les clés d’accès ne remplaceront pas les mots de passe partout du jour au lendemain, mais elles représentent un véritable changement dans la façon dont nous protégeons nos comptes – et elles éliminent entièrement l’écart entre savoir et agir.
Briser le cycle : votre plan de relance en trois étapes
Vous n’avez pas besoin de réorganiser toute votre vie numérique en un après-midi. Choisissez une de ces étapes et faites-la cette semaine – puis partez de là :
- Configurez un gestionnaire de mots de passe (si ce n’est pas déjà fait). C’est la mesure la plus efficace que vous puissiez prendre. Un gestionnaire de mots de passe génère, stocke et remplit automatiquement des mots de passe véritablement aléatoires pour tous vos comptes, de sorte que le seul mot de passe que vous devez retenir est votre mot de passe principal. La plupart offrent des versions gratuites, et la configuration est plus simple que vous ne le pensez.
- Essayez une clé d’accès sur un compte. La prochaine fois que vous vous connecterez à Google, Amazon, Apple ou Microsoft, cherchez l’option de configurer une clé d’accès dans vos paramètres de sécurité. Cela prend environ deux minutes, et une fois que c’est fait, vous verrez à quel point la connexion peut être plus facile.
- Vérifiez ce qui a déjà été exposé. Notre surveillance du Web clandestin vous alertera si des mots de passe associés ont été trouvés lors d’une violation de données – vous saurez ainsi exactement quels comptes nécessitent votre attention en premier, au lieu de deviner.
Ce n’est pas une question de volonté – c’est une question de systèmes
La vraie leçon du paradoxe des mots de passe, ce n’est pas que nous devons essayer plus fort. C’est que nous devons cesser de compter sur la mémoire humaine et la volonté pour quelque chose que la technologie peut mieux gérer. Les gestionnaires de mots de passe, les clés d’accès et l’authentification multifacteur ne sont pas simplement des options intéressantes – ce sont les systèmes qui comblent l’écart entre ce que nous savons et ce que nous faisons réellement.
En ce Jour mondial du mot de passe, donnez-vous la permission d’arrêter d’essayer d’être parfait(e) et commencez à laisser de meilleurs outils faire le gros du travail.
N’oubliez pas de rester vigilant, informé et prudent.
