Le mot de passe n’est pas mort. Mais il est devenu une cible. Entre deep learning, fuites massives de credentials et ingénierie sociale de plus en plus sophistiquée, les fondamentaux de l’authentification sont à revoir, de la politique de renouvellement jusqu’à la transition passwordless.
Le mot de passe est devenu une cible industrielle
Les modèles de deep learning ont rendu obsolètes des années de pédagogie sur la complexité des mots de passe. Les substitutions classiques comme l’exclamation en fin de chaîne, l’année glissée après le nom de l’entreprise, sont aujourd’hui anticipées en quelques secondes par des outils automatisés. Ce n’est pas une exagération : c’est la réalité des attaques actuelles, telle que la décrit Laurent Galvani, Expert Cybersécurité GRC chez TVH Consulting. “Entreprise2026!” est objectivement plus vulnérable que “tigre-velours-canoë-lampe”. La longueur et l’imprévisibilité priment sur la complexité apparente, c’est un changement de paradigme, et il est acté.
Pendant ce temps, des bases de données contenant des millions d’identifiants circulent quotidiennement sur le dark web. Piratage de compte et hameçonnage restent deux des vecteurs les plus courants de compromission, souvent combinés : un credential volé via phishing ouvre la voie à l’usurpation d’identité, qui permet ensuite de commettre des délits au nom de la victime. Cybermalveillance.gouv.fr le rappelle à chaque édition, et la mécanique ne change pas, même si les outils des attaquants, eux, évoluent en permanence.
Ce que les bonnes pratiques ont en commun : réduire la surface humaine
Le gestionnaire de mots de passe d’entreprise n’est plus optionnel. Laisser les collaborateurs créer eux-mêmes leurs identifiants, c’est exposer l’organisation à la réutilisation, première faille humaine, première porte d’entrée. Un collaborateur qui accède à Salesforce avec le même mot de passe que sa messagerie professionnelle, c’est une fuite externe qui devient potentiellement une intrusion interne.
La CNIL et Cybermalveillance.gouv.fr convergent sur les fondamentaux : un mot de passe par service, au minimum 12 caractères mêlant majuscules, minuscules, chiffres et caractères spéciaux, stocké dans un gestionnaire dédié. Côté authentification multifacteur, le cap à viser en 2026 n’est plus le simple SMS, insuffisamment robuste face aux techniques actuelles d’ingénierie sociale, mais des mécanismes résistants au phishing : clés physiques FIDO2, applications d’authentification sécurisées. Un credential compromis ne doit jamais suffire à ouvrir un accès.
Sur la politique de renouvellement, les recommandations ont évolué : imposer un changement systématique tous les 90 jours conduit souvent à des comportements contre-productifs, incrémentations prévisibles, post-its, simplification excessive. L’approche fondée sur le risque réel, déclencher la réinitialisation uniquement lors d’une compromission avérée ou d’une exposition identifiée dans une fuite, améliore à la fois la sécurité et l’expérience utilisateur.
La trajectoire : faire disparaître le mot de passe
La question de fond n’est pas de savoir comment rendre les mots de passe plus solides, mais à quelle vitesse les organisations peuvent s’en affranchir. Les approches passwordless — biométrie, Windows Hello, clés FIDO2, authentification intégrée — ne sont plus réservées aux environnements à haute criticité. Elles deviennent accessibles à toute organisation qui décide d’en faire une priorité.
Moins de secrets à mémoriser, c’est mécaniquement moins de secrets à voler. La surveillance continue des fuites de credentials, avec révocation immédiate des sessions exposées, complète ce dispositif et n’est plus l’apanage des grandes structures : elle est désormais un prérequis opérationnel.
Laurent Galvani résume l’enjeu sans détour : “La question n’est plus de savoir si votre mot de passe sera compromis, mais quand.” Anticiper, c’est réduire intelligemment la place du mot de passe dans l’architecture de sécurité, jusqu’à le faire disparaître.
