Chaque année, le premier jeudi du mois de mai est la Journée mondiale des mots de passe. L’occasion pour chacun, experts en sécurité, éditeurs de logiciels, médias tech, de rappeler qu’il faut utiliser des mots de passe forts et uniques, et surtout ne pas utiliser « azerty », « admin », « 123456 » ou le prénom de votre animal.
Ceci dit, je vous l’accorde, même avec un mot de passe parfait, vous pouvez toujours vous retrouver avec vos données dans la nature. Parce que parfois le problème ne vient pas de vous. Elles proviennent des sociétés à qui vous avez confié ces données.
Alors oui, je vais vous donner les bonnes pratiques. Oui, je vais vous parler des gestionnaires de mots de passe et de l’authentification à deux facteurs. Mais je rappellerai aussi que la France est, au premier trimestre 2026, le deuxième pays au monde le plus touché par les fuites de données, avec 23,5 millions de comptes compromis et plus de 200 services impactés depuis janvier 2026. Et même un bon mot de passe n’y change absolument rien.
Les bases d’un bon mot de passe
On commence par les fondamentaux, car même si cela ne suffit pas, cela reste la première ligne de défense. Un bon mot de passe est avant tout un mot de passe long. On oublie les 8 caractères minimum des années 2000 : aujourd’hui, on vise au moins 16 caractères, idéalement plus. Plus c’est long, plus c’est (Bien) difficile à casser par force brute.
Ensuite, il doit être unique. Un mot de passe par service, sans exception. Si vous utilisez le même site partout et qu’un site est piraté, tous vos comptes deviennent vulnérables. C’est ce qu’on appelle le bourrage d’informations d’identification : les pirates collectent vos identifiants et les testent automatiquement sur des centaines de services.
Enfin, mélangez les caractères : majuscules, minuscules, chiffres, caractères spéciaux. Et surtout, évitez les mots du dictionnaire, les séquences logiques (« 123456 », « abcdef ») ou les informations personnelles facilement devinables comme une date de naissance ou un prénom.
Une astuce efficace et souvent sous-estimée : la phrase secrète. Plutôt qu’un mot de passe complexe et impossible à retenir, associez quatre ou cinq mots aléatoires. « Cat-Lemon-Sea-Router-45 » est à la fois long, facile à retenir et extrêmement difficile à déchiffrer.
A lire : 👉Comment savoir si vos mots de passe sont sécurisés ?
Un gestionnaire de mots de passe, la solution indispensable
Conserver un mot de passe fort et unique par service est humainement impossible. Personne ne peut se souvenir de 50 ou 100 mots de passe différents de 16 caractères ou plus. La solution est le gestionnaire de mots de passe ! Un outil capable de stocker et de générer pour vous vos mots de passe, de manière cryptée. Vous n’avez qu’un seul mot de passe à retenir : celui qui déverrouille le manager, appelé mot de passe maître. Autant dire qu’il vaut mieux le choisir solide.
Plusieurs solutions s’offrent à vous :
- Bitwarden est sans doute la référence en matière de gestionnaires de mots de passe open source. Il est proposé en version gratuite ou payante et disponible sur toutes les plateformes (Windows, macOS, Linux, Android, iOS). Vos mots de passe sont synchronisés dans le cloud et cryptés de bout en bout.
- KeePassXC est une alternative pour ceux qui préfèrent conserver leurs données locales, sans aucun stockage cloud. Vos mots de passe sont enregistrés dans un fichier crypté que vous gérez vous-même. Elle est plus contraignante en termes de synchronisation entre appareils, mais c’est la solution la plus souveraine disponible. C’est celui que j’utilise personnellement et j’en suis très satisfait.
- Proton Pass est « le dernier ajout » à la famille Proton, les créateurs de Proton Mail. Egalement open source, il intègre également un générateur d’alias email, utile pour ne pas donner votre véritable adresse email à chaque inscription. Une option intéressante si vous êtes déjà dans l’écosystème Proton.
Double authentification : un bouclier supplémentaire, mais pas universel
Un bon mot de passe, c’est bien. La double authentification (2FA) est préférable. Il ajoute un deuxième verrou à votre compte : en plus de votre mot de passe, un deuxième facteur vous est demandé pour valider votre connexion. Même si un hacker met la main sur votre mot de passe, il ne pourra pas accéder à votre compte sans ce deuxième élément.
Il existe plusieurs types d’authentification à deux facteurs, et tous ne sont pas égaux. Le code reçu par SMS est le plus courant, mais aussi le moins fiable : il est vulnérable au vol ou à la copie de votre carte SIM. Nous faisons mieux.
La meilleure option pour le grand public est l’application d’authentification TOTP (Time-based One-Time Password). Il génère un code à six chiffres qui change toutes les 30 secondes, sans connexion Internet ni SMS. Parmi les applications disponibles, on peut citer Aegis Authenticator et 2FAS sur Android, Ente Auth sur Android et iOS, ou encore Bitwarden Authenticator et Proton Authenticator si vous êtes déjà dans un de ces écosystèmes.
A lire : 👉 9 meilleures applications d’authentification à deux facteurs (2FA)
Le problème est que l’authentification à deux facteurs n’est pas disponible partout. De nombreux services, notamment en France, ne le proposent tout simplement pas. Et même lorsqu’elle est disponible, ce n’est pas une protection absolue : elle ne vous protège pas si c’est le serveur du service lui-même qui est piraté et vos données sont volées directement depuis leur base de données. Ce qui nous amène au sujet ennuyeux.
Fuites de données en France : quand le problème ne vient pas de vous
C’est le revers de la médaille dont on parle rarement lors de la Journée mondiale des mots de passe. Vous pouvez avoir le mot de passe le plus fort au monde, activer l’authentification à deux facteurs dans la mesure du possible, tout en vous retrouvant avec vos données personnelles flottant sur le dark web. Parce que ce sont les entreprises qui ont été piratées, pas vous.
Et la France est particulièrement mal lotie sur ce point. Au premier trimestre 2026, il se classe au deuxième rang mondial pour les violations de données, juste derrière les États-Unis, avec 23,5 millions de comptes compromis en seulement trois mois. Les incidents se sont multipliés ces dernières années, et certains ont touché des millions de Français :
- Gratuit : en octobre 2024, l’opérateur a été piraté. 19,2 millions de contrats d’abonnés compromis, dont les IBAN. La CNIL lui a infligé une amende de 42 millions d’euros en janvier 2026.
- Cegedim Santé : l’éditeur de logiciels médicaux a vu les données de près de 15 millions d’assurés exposées, avec des informations de santé particulièrement sensibles.
- France Travail : une cyberattaque en 2024 a compromis les données de millions de demandeurs d’emploi. Sanction de la CNIL : 5 millions d’euros.
- URSSAF : les accès frauduleux ont potentiellement touché 12 millions de personnes, avec des données sensibles comme les numéros SIRET des employeurs et les dates d’embauche.
Et ce ne sont là que les cas les plus médiatisés. Le site Bonjour fuitequi recense les fuites de données en France, en a déjà enregistré plus de 200 depuis début 2026.
Subir une fuite de données sans même le savoir est malheureusement le cas de nombreuses personnes. Il existe des outils pour vérifier si votre adresse e-mail a été compromise lors d’une fuite connue.
Le plus connu est Ai-je été pwned : Entrez votre adresse email et le site vous indique si elle apparaît dans une base de données piratée répertoriée. C’est gratuit, simple et assez complet. Vous pouvez même vous abonner pour recevoir une alerte automatique si votre adresse apparaît dans une nouvelle fuite.
Mozilla propose également Moniteur Firefoxqui repose sur les mêmes données que Have I Been Pwned mais avec une interface légèrement plus accessible pour le grand public.
Si votre adresse apparaît dans une fuite, modifiez immédiatement le mot de passe du service concerné. Et surtout activez la double authentification si ce n’est pas déjà fait (et si c’est possible).
Faites votre part, mais ne vous en faites pas
La Journée mondiale des mots de passe reste une bonne occasion de faire le point sur vos habitudes. Utiliser des mots de passe longs et uniques, adopter un gestionnaire de mots de passe et activer la double authentification lorsqu’elle est disponible restent aujourd’hui les meilleures bases pour protéger vos comptes.
Cependant, même avec toutes les précautions du monde, vos données peuvent toujours être exposées en raison d’une fuite d’un service que vous utilisez. Et ces dernières années, les exemples ne manquent vraiment pas.
Cela ne veut pas dire que nous devons abandonner. Un mot de passe réutilisé sur plusieurs sites peut transformer une simple fuite en désastre. A l’inverse, les bonnes pratiques limitent souvent les dégâts et évitent qu’un hack n’ouvre la porte à toute votre vie numérique.
