Sécuriser les comptes
La plupart des intrusions dans un compte ne commencent pas par un système piraté, mais par un mot de passe volé ou deviné. Dans ce module, tu vas apprendre à protéger tes comptes en trois couches : un mot de passe fort et unique, la double authentification et, quand c’est possible, une passkey.
- check_circle Pourquoi un mot de passe fort et unique est la base, et comment un gestionnaire de mots de passe simplifie tout
- check_circle Comment la double authentification (2FA) protège tes comptes même si ton mot de passe fuit
- check_circle Ce que sont les passkeys et pourquoi ils sont encore plus sûrs qu'un mot de passe avec 2FA
Fort, unique, et pas à retenir par toi
Un bon mot de passe respecte trois règles simples :
- Long : au moins 12 à 14 caractères. La longueur l’emporte sur la complexité. Une phrase de passe de quatre mots aléatoires, comme
table-chien-cafe-bleu, est plus forte qu’un mot de passe court. - Unique par compte : n’utilise jamais le même mot de passe sur plusieurs sites ou services.
- Pas devinable : évite ton nom, ton année de naissance, le nom de ton chien ou de ton entreprise.
Si un site est piraté et que tu y as utilisé le même mot de passe que sur ta messagerie ou ta banque, ceux-là sont ouverts aussi. Les attaquants testent automatiquement les combinaisons e-mail et mot de passe ayant fuité sur des centaines d’autres services. Ça s’appelle le credential stuffing.
Un gestionnaire de mots de passe fait le travail pour toi
Personne ne peut retenir par cœur des dizaines de mots de passe forts et uniques. C’est à ça que sert un Gestionnaire de mots de passe Un programme ou une appli qui conserve tous tes mots de passe de façon chiffrée et les remplit automatiquement sur les sites et applis. Tu n'as qu'à retenir un seul mot de passe principal fort. Sur la plupart des appareils, il existe déjà une appli Mots de passe intégrée (chez Apple, Microsoft et Google). À côté, il y a des applis dédiées comme Bitwarden, 1Password et Dashlane. .
- Il génère des mots de passe forts et les retient pour toi.
- Il les remplit automatiquement, sur ton téléphone aussi.
- Tu ne retiens que le mot de passe principal et tu le protèges davantage.
- Il t’avertit si un mot de passe a fuité ou est réutilisé.
Sur la plupart des appareils, une appli Mots de passe intégrée est déjà prête : Apple a l’appli Mots de passe, Microsoft la propose via Edge et l’appli Authenticator, Google via Chrome. Pas d’installation, pas de compte en plus : tu peux dès aujourd’hui faire générer et conserver des mots de passe forts et uniques sans en retenir un seul. Ça résout aussi la réutilisation, car tu n’as plus jamais besoin d’utiliser un mot de passe deux fois. Si tu veux plus, tu peux toujours passer à un outil dédié comme Bitwarden ou 1Password.
Un gestionnaire de mots de passe est, pour la plupart des gens, la plus grande différence entre des comptes sûrs et non sûrs. Lis dans la base de connaissances comment en choisir un et bien l’utiliser.
La 2FA : une étape en plus, un monde de différence
La double authentification (2FA) ajoute une deuxième étape à côté de ton mot de passe : généralement un code dans une appli, une empreinte digitale ou une clé physique. Même si quelqu’un connaît ton mot de passe, il n’entre pas sans cette deuxième étape.
La 2FA ne fonctionne que si le service ou logiciel que tu utilises la propose. Tu ne peux pas l’installer toi-même si un fournisseur ne la prend pas en charge. Fais-en donc un critère standard au moment de choisir un logiciel, surtout pour les applications avec des données clients ou personnel : prend-il en charge la 2FA ? Sinon, cherche ailleurs.
Toutes les formes de 2FA ne se valent pas :
- Code par SMS : de loin la forme la plus courante et un grand pas en avant par rapport au seul mot de passe.
- Appli d’authentification (comme Google Authenticator, Microsoft Authenticator ou l’appli de ton gestionnaire de mots de passe) : encore un cran plus fort, et pratique quand ton appareil n’a momentanément pas de réseau.
- Passkey : la plus forte. Une clé cryptographique sur ton appareil, impossible à hameçonner et utilisable en une touche. Plus à ce sujet à la diapo suivante.
Commence par tes comptes les plus importants : ta messagerie (car par e-mail, on peut réinitialiser tes autres mots de passe), ta banque, tes systèmes professionnels, tes réseaux sociaux. Dix minutes de travail par compte, et la différence de protection est énorme.
Les passkeys : le meilleur, et de plus en plus disponible
Une Passkey Un identifiant cryptographique conservé sur ton appareil et déverrouillé avec ton empreinte digitale, ton visage ou le code de l'appareil. Il n'y a plus de mot de passe à taper ou à transmettre. La passkey est en plus liée au vrai domaine du service, ce qui fait que le phishing ne fonctionne pas. est une connexion sans mot de passe : au lieu d’un mot de passe, ton appareil conserve une clé cryptographique, que tu déverrouilles avec ton empreinte, ton visage ou ton code.
- Rien à retenir ni à taper : ton téléphone ou ton ordinateur prouve que c’est toi.
- Le phishing ne fonctionne pas : la passkey est liée au vrai domaine. Un faux site a la même apparence mais n’obtient aucun accès.
- Connexion rapide, souvent en une touche.
De plus en plus de grands services prennent en charge les passkeys : Google, Microsoft, Apple, banques, suites e-mail et bureautiques. Si le service te propose une passkey, accepte-la.
Une passkey remplace ton mot de passe sur ce service, ou vient à côté. Tant qu’il existe encore un mot de passe, garde-le fort et unique, avec la 2FA en plus. La combinaison passkey + secours solide est l’approche la plus sûre aujourd’hui.
L’échelle de la sécurité des comptes
Imagine : quatre collègues protègent leur messagerie professionnelle chacun d’une façon différente. Lequel est le mieux sécurisé ?
Quel compte est le mieux sécurisé ?
Une passkey gagne l'échelle. Il n'y a rien à hameçonner ni à deviner : la clé cryptographique est sur l'appareil et liée au vrai domaine. Les pages de phishing n'obtiennent aucun accès, même identiques.
Les autres options progressent bien : réutilisé < mot de passe unique < unique + 2FA. Tant que les passkeys ne sont pas partout, un mot de passe unique fort avec la 2FA est la meilleure étape intermédiaire.
Quel mot de passe est assez fort ?
Choisis le mot de passe le plus fort.
La phrase de passe de quatre mots aléatoires est de loin la plus forte. La longueur l'emporte sur la complexité : un long mot de passe avec des caractères ordinaires met bien plus longtemps à casser qu'un court mot de passe avec chiffres et symboles.
Les autres exemples paraissent forts grâce aux chiffres ou à une majuscule, mais suivent des schémas prévisibles que les attaquants essaient en premier. P@ssw0rd figure dans tous les dictionnaires standards de cassage de mots de passe.
Ce que tu retiens du module 2
- bolt Un mot de passe fort est avant tout un long mot de passe : la longueur l'emporte sur la complexité. Une phrase de passe de quatre mots aléatoires est excellente.
- bolt Chaque mot de passe unique par compte. La réutilisation est la plus grande erreur, car une fuite ouvre tous tes autres comptes.
- bolt Un gestionnaire de mots de passe retient, génère et remplit tes mots de passe. Tu ne retiens que le mot de passe principal.
- bolt La 2FA est le plus grand saut de protection. Active-la sur ta messagerie, ta banque, ton travail et tes réseaux sociaux. Une appli d'authentification est plus forte qu'un SMS.
- bolt Une passkey est la meilleure option : rien à retenir ni à taper, et le phishing ne fonctionne pas. Accepte-la partout où elle est proposée.
Module 2 terminé 🎉
Tes comptes sont plus solides. Au module 3, nous prenons du recul vers l’accès et les systèmes autour de ces comptes : seulement ce qui est nécessaire, et tout à jour.
En route vers ton certificat “Sensibilisation à la sécurité”
Termine les 6 modules et réussis l’examen final (au moins 70 %) pour recevoir un certificat de participation personnel à ton nom.