Retour au blog

Menaces de sécurité

Comment les hackers cassent vos mots de passe et comment les en empêcher

5 mars 2025 · 3 min de lecture

Des mots de passe sont compromis chaque jour, et la cause n'est généralement pas un piratage de haut niveau. Le plus souvent, il s'agit de mots de passe faibles, réutilisés, exposés dans des fuites ou trop prévisibles.

Quand on comprend comment ces attaques fonctionnent réellement, il devient beaucoup plus simple de choisir les bonnes protections.

Brute force et importance de la longueur

Une attaque par force brute consiste à essayer un très grand nombre de combinaisons jusqu'à trouver la bonne. Le danger est encore plus grand lorsque les attaquants peuvent tester leurs hypothèses hors ligne sur des hachages volés, sans être ralentis par une page de connexion.

C'est pour cela que la longueur compte autant. Chaque caractère supplémentaire élargit fortement l'espace de recherche et rend l'attaque bien plus coûteuse.

Attaques par dictionnaire et prévisibilité humaine

Les attaquants ne partent pas de suites aléatoires. Ils commencent par ce que les gens choisissent réellement : des mots courants, des équipes sportives, des dates, des motifs de clavier, des noms ou de petites variantes comme Password1! ou Summer2024.

Un mot de passe peut sembler personnel ou malin à un humain et rester pourtant très prévisible pour un outil conçu à partir de comportements réels.

Credential stuffing

Quand un site subit une fuite, les attaquants réessaient automatiquement les couples e-mail/mot de passe sur d'autres services.

Si vous réutilisez vos mots de passe, une fuite sur un petit site peut compromettre votre e-mail, votre banque, vos achats en ligne ou votre travail.

Cassages hors ligne après une fuite de base de données

Si des hachages de mots de passe sont volés, les attaquants peuvent lancer leurs essais sur leur propre matériel, sans blocage de compte, CAPTCHA ni limitation de débit.

Le risque change alors complètement d'échelle. Un mot de passe qui tient en ligne peut tomber très vite dans un contexte de cassage hors ligne.

Ce qui vous protège réellement

  • Utiliser des mots de passe longs et uniques pour chaque compte.
  • Utiliser un gestionnaire pour générer des secrets aléatoires.
  • Utiliser une phrase de passe aléatoire quand il faut mémoriser un secret.
  • Activer la MFA, surtout pour l'e-mail et la finance.
  • Remplacer immédiatement tout mot de passe trouvé dans des fuites connues.

L'essentiel à retenir

Les attaquants n'ont généralement pas besoin de vaincre la cryptographie. Ils profitent surtout d'habitudes faibles et de secrets réutilisés. C'est une bonne nouvelle, car de meilleures habitudes bloquent une grande partie des attaques réelles.

Des mots de passe plus longs, aucune réutilisation et la MFA vous sortent de la catégorie des cibles les plus faciles.

Étapes suivantes

Renforcez vos défenses côté mots de passe

Générez un mot de passe long et aléatoire, puis passez vos anciens secrets par notre test de fuite pour voir s'ils figurent dans des bases de fuites connues.