Les conseils sur les mots de passe que vous avez appris il y a dix ans sont obsolètes. Les règles qui semblaient solides (mélanger majuscules, chiffres et caractères spéciaux dans un mot court) sont aujourd'hui facilement contournées par les outils modernes. Voici ce que la recherche en sécurité recommande en 2026.
Ce qui a changé depuis 2015
Les outils d'attaque ont évolué
Les attaques par dictionnaire modernes intègrent des millions de variantes connues. Remplacer le "a" par "@" ou le "o" par "0" ? Les outils de cracking le savent depuis des années et testent ces substitutions automatiquement.
L'essor des GPU puissants et des services cloud a rendu les attaques par force brute beaucoup plus efficaces. Un mot de passe de 8 caractères, même complexe, peut être cassé en quelques heures avec du matériel accessible.
L'IA dans les attaques de phishing
Les modèles de langage permettent désormais de générer des emails de phishing parfaitement rédigés, dans votre langue, avec votre style si des données vous concernant sont disponibles. La détection à l'oeil nu est devenue difficile.
Les fuites de données alimentent les attaques
Des milliards de paires identifiant/mot de passe sont disponibles sur des forums clandestins. Si vous réutilisez un mot de passe sur plusieurs sites, il suffit qu'un seul soit compromis pour que tous vos comptes soient exposés.
Les règles actuelles selon les experts
Longueur avant complexité
Le NIST (National Institute of Standards and Technology) recommande depuis 2017 de privilégier la longueur sur la complexité artificielle. Une phrase de passe de 20 caractères facile à mémoriser est plus sûre qu'un mot de 8 caractères avec des caractères spéciaux.
Exemple de bonne phrase de passe : MonChatAdoreLesSardines2026 est plus résistante que P@ssw0rd! même si elle semble plus simple.
L'unicité est non négociable
Chaque compte doit avoir un mot de passe unique. C'est la règle la plus importante et la seule vraiment indiscutable en 2026. La réutilisation de mots de passe est responsable de la majorité des compromissions de comptes.
Abandonnez les rotations forcées
Forcer le changement de mot de passe tous les 3 mois était une recommandation courante. Elle est aujourd'hui abandonnée par la plupart des experts. Les changements forcés conduisent à des mots de passe prévisibles (Janvier2026!, Fevrier2026!...). Changez votre mot de passe uniquement si vous suspectez une compromission ou s'il apparaît dans une fuite.
Comment créer des mots de passe solides en 2026
Méthode des phrases de passe
Choisissez 4 à 6 mots aléatoires non liés entre eux. Cette technique, popularisée par le webcomic XKCD, génère des mots de passe mémorisables et très résistants.
caramel-trompette-falaise-bougie : 34 caractères, facile à retenir, extrêmement difficile à forcer.
Méthode du générateur aléatoire
Pour les comptes que vous n'avez pas besoin de saisir manuellement (la quasi-totalité si vous utilisez un gestionnaire de mots de passe), laissez le générateur produire une chaîne aléatoire de 24+ caractères.
Kx9$mP2#vLqN7@dR4wYjH3Ts : impossible à retenir, mais vous n'en avez pas besoin si votre gestionnaire le fait pour vous.
Ce qu'il ne faut jamais utiliser
- Votre prénom ou nom
- Votre date de naissance ou anniversaire
- Le nom de votre animal de compagnie
- Des mots du dictionnaire seuls
- Des mots de passe de moins de 12 caractères pour des comptes importants
- Le même mot de passe sur plusieurs services
L'indispensable : le gestionnaire de mots de passe
Un gestionnaire de mots de passe résout le problème fondamental : il est humainement impossible de mémoriser 100+ mots de passe uniques et complexes. Le gestionnaire le fait à votre place.
Recommandations en 2026 :
Bitwarden reste le choix de référence pour les utilisateurs soucieux de transparence : open source, audité indépendamment, gratuit pour l'usage personnel, disponible sur toutes les plateformes.
1Password est excellent pour les familles et les équipes, avec un mode "voyage" pratique et une interface soignée.
Proton Pass est une alternative intéressante pour les utilisateurs de l'écosystème Proton, avec un chiffrement de bout en bout.
Ce qu'il ne faut pas faire : utiliser le gestionnaire de mots de passe intégré à votre navigateur comme solution principale. Ces gestionnaires sont liés à votre compte Google ou Apple et peuvent être compromis si ce compte l'est.
L'authentification à deux facteurs reste indispensable
Un bon mot de passe seul ne suffit plus. L'authentification à deux facteurs (2FA) ajoute une couche de protection critique : même si votre mot de passe est volé, l'attaquant ne peut pas se connecter sans votre deuxième facteur.
Ordre de préférence des méthodes 2FA en 2026 :
- Clé de sécurité physique (YubiKey, clé FIDO2) : impossible à phisher, le plus sûr
- Application d'authentification (Aegis, Authy, Google Authenticator) : très sûr, pratique
- Code par SMS : pratique mais vulnérable au SIM swapping, à éviter pour les comptes critiques
- Email de vérification : moins sûr car dépend de la sécurité de votre email
Les nouvelles menaces à connaître en 2026
Le SIM swapping
Un attaquant convainc votre opérateur téléphonique de transférer votre numéro sur une nouvelle SIM. Il reçoit alors tous vos SMS, y compris les codes 2FA. Protection : utilisez une application d'authentification plutôt que les SMS pour vos comptes critiques.
L'adversaire-dans-le-milieu (AiTM)
Des kits de phishing sophistiqués interceptent votre session en temps réel. Même avec le 2FA, l'attaquant peut capturer votre token de session. Protection : les clés FIDO2 résistent à ce type d'attaque car elles sont liées au domaine légitime.
Les attaques par IA
Des outils d'IA peuvent analyser vos données publiques (réseaux sociaux, articles, interviews) pour générer des tentatives de mots de passe personnalisées. Un mot de passe contenant votre année de naissance, le nom de votre ville ou de votre équipe favorite est plus facile à deviner pour ces outils.
Mots de passe et succession numérique
Vos mots de passe sont au coeur de votre héritage numérique. Sans eux, vos héritiers ne peuvent accéder à aucun de vos comptes.
La solution recommandée est de stocker l'ensemble de vos mots de passe dans un gestionnaire sécurisé et de transmettre le mot de passe maître via EchoPass, activé uniquement en cas de décès ou d'incapacité. Cette approche protège vos accès de votre vivant tout en les rendant accessibles à vos héritiers au moment opportun.
Sécurisez vos mots de passe et organisez leur transmission avec EchoPass.