Signée par Alina Bizga, Security Analyst chez Bitdefender
Chaque année, la Journée mondiale du mot de passe au début du mois de mai rappelle aux entreprises et aux utilisateurs l’importance de sécuriser leurs accès numériques. Pourtant, malgré des années de sensibilisation, les pratiques évoluent peu : 37 % des utilisateurs déclarent encore écrire leurs mots de passe, et 17 % les réutilisent sur plusieurs comptes. Les recommandations sont connues, mais leur application reste imparfaite telles que créer des identifiants robustes, éviter leur réutilisation et généraliser l’authentification multifacteur. Le cadre est désormais largement intégré.
Ce marronnier dit pourtant autre chose. Il montre à quel point le débat reste centré sur l’amélioration d’un mécanisme dont les limites sont désormais bien identifiées, sans que sa place réelle dans les architectures de sécurité soit véritablement remise en question.
Le problème ne tient plus seulement à la qualité des identifiants. Il tient à leur nature. Il s’agit d’un secret que l’on doit mémoriser, transmettre et, tôt ou tard, exposer. C’est précisément ce qui en fait un point d’entrée privilégié pour les attaques. Non pas parce que les utilisateurs feraient mal les choses, mais parce que le modèle lui-même repose sur une hypothèse fragile.
Depuis des années, les organisations tentent de compenser cette faiblesse. Elles renforcent les exigences, multiplient les contrôles et ajoutent des couches successives. Cette logique a permis de contenir certains risques, mais elle a aussi déplacé la contrainte vers les usages. Plus les règles se durcissent, plus les pratiques s’adaptent, parfois en contournant les dispositifs censés protéger.
Les attaques actuelles exploitent précisément ce décalage. Par exemple, le phishing ou encore des malwares de type infostealer s’installent discrètement après un simple téléchargement ou une fausse vérification. Ils récupèrent les mots de passe enregistrés, les données d’autocomplétion et même les sessions actives, sans nécessiter d’action supplémentaire. Dans ces situations, la robustesse du mot de passe ne change rien.
Le décalage entre sécurité théorique et réalité opérationnelle s’installe durablement. Il crée une forme de dépendance à ce mécanisme que l’on sait imparfait, mais que l’on continue d’optimiser faute de rupture réellement assumée. Cette rupture, pourtant, est déjà à l’œuvre dans les usages et dans les choix technologiques qui s’imposent progressivement.
Les grandes plateformes numériques ont amorcé un basculement vers des modèles d’authentification qui ne reposent plus sur un secret mémorisé. Les passkeys, par exemple, permettent de s’authentifier sans mot de passe en s’appuyant sur un appareil de confiance. La biométrie, utilisée en complément, valide l’identité sans exposer d’identifiant réutilisable. Ce déplacement peut sembler technique, mais il change la nature même du problème. Il ne s’agit plus de renforcer un code pour le rendre plus résistant, mais de supprimer ce que l’attaquant cherche à obtenir.
Dans ce cadre, certaines attaques perdent mécaniquement en efficacité. Le phishing, par exemple, repose sur la capacité à récupérer un identifiant exploitable. Lorsque celui-ci n’est plus transmissible, l’attaque devient plus complexe à industrialiser. Mais cette évolution se heurte encore à une réalité simple : les systèmes d’information restent profondément dépendants de ce modèle, ce qui ralentit mécaniquement la transition vers d’autres approches. Cette dépendance dépasse largement la question des outils. Elle touche directement à la manière dont les organisations conçoivent et gouvernent l’identité numérique. C’est là que le débat doit évoluer.
Tant que ce mécanisme est abordé comme un élément à sécuriser, la réponse reste technique et progressive. Dès lors qu’il est considéré comme une dépendance à réduire, le raisonnement change de nature. Il ne s’agit plus d’améliorer un maillon faible, mais de remettre en cause un fondement devenu obsolète. La Journée mondiale du mot de passe pourrait alors prendre une autre signification. Non plus rappeler comment mieux les gérer, mais rendre visible leur place réelle dans les systèmes. Car la question n’est plus de savoir s’ils peuvent être suffisamment sécurisés. Elle est de savoir combien de temps encore les organisations peuvent structurer leur sécurité autour d’un mécanisme dont la faiblesse est connue.
