La plupart des internautes pensent encore qu’un mot de passe « compliqué » suffit à les protéger. Quelques majuscules, deux chiffres, un symbole… et l’affaire serait réglée.
La réalité, elle, est beaucoup moins rassurante.
Avec la puissance des cartes graphiques actuelles, les bases de données de mots de passe déjà fuitées et les outils automatisés disponibles librement, ce qui semblait robuste il y a 5 ans est aujourd’hui trivial à casser.
Dans cet article, nous allons voir combien de temps il faut réellement pour craquer un mot de passe, comment ces attaques fonctionnent, et surtout ce que cela implique pour votre sécurité quotidienne — que vous soyez particulier, professionnel, ou gestionnaire d’accès pour une équipe.
Comment les pirates “cassent” réellement un mot de passe
Contrairement à l’image du hacker qui « devine » votre mot de passe, la majorité des attaques modernes ne reposent pas sur l’intuition, mais sur la puissance de calcul et l’automatisation.
Lorsqu’une base de données fuit (site e-commerce, forum, SaaS, réseau social…), les mots de passe ne sont pas stockés en clair mais sous forme de hash (MD5, SHA-1, bcrypt, Argon2…). Les attaquants récupèrent ces empreintes et les passent dans des machines capables de tester des milliards de combinaisons par seconde.
Deux techniques dominent :
l’attaque par dictionnaire, qui teste en priorité des mots réels, prénoms, dates, combinaisons connues
l’attaque par force brute, qui teste méthodiquement toutes les combinaisons possibles
Le plus inquiétant ?
Les pirates ne partent jamais de zéro. Ils disposent de gigantesques bases de données issues de précédentes fuites contenant des milliards de mots de passe réels. Cela rend l’attaque extrêmement efficace, même contre des mots de passe qui paraissent « originaux ».
Le facteur déterminant : la longueur, pas la complexité
On pense souvent que la complexité protège : caractères spéciaux, majuscules, chiffres.
En réalité, le facteur qui ralentit réellement un attaquant est la longueur.
Un mot de passe court mais complexe est infiniment plus facile à casser qu’une phrase longue et simple.
Par exemple :
P@ssw0rd!peut être cassé en quelques secondesMonChatDortSurLeRadiateurEnHiverpeut prendre des siècles
Pourquoi ? Parce que le nombre de combinaisons explose avec la longueur.
Combien de temps faut-il vraiment pour casser un mot de passe ?
Voici une estimation basée sur la puissance de calcul actuelle (GPU grand public, outils disponibles publiquement) :
| Type de mot de passe | Exemple | Temps estimé pour le casser |
|---|---|---|
| 8 caractères, lettres uniquement | bonjouraa | quelques secondes |
| 8 caractères, complexe | B0nj0uR! | moins d’une minute |
| 10 caractères alphanumériques | Paris2024! | quelques heures |
| 12 caractères alphanumériques | Vacances2025! | plusieurs années |
| 20+ caractères (passphrase) | LeSoleilSeLeveToujoursA6h | virtuellement incassable |
Ces durées varient selon l’algorithme de hash utilisé par le site, mais la tendance reste la même :
les mots de passe courts ne tiennent pas face aux attaques modernes.
Pour comprendre comment fonctionnent ces algorithmes, vous pouvez consulter la documentation de référence sur les fonctions de hachage sécurisées comme celles décrites par le projet OWASP.
Le piège des mots de passe “malins”
Beaucoup de personnes pensent être créatives :
remplacer les « o » par des « 0 »
ajouter un « ! » à la fin
inverser deux lettres
Les outils de cracking connaissent déjà toutes ces astuces. Elles font partie des premières variantes testées.
Autrement dit, ces « améliorations » n’apportent presque aucune protection.
Ce qui rend une attaque réellement dangereuse : la réutilisation
Le vrai problème n’est pas seulement qu’un mot de passe soit cassable.
C’est qu’il soit réutilisé ailleurs.
Une fois qu’un pirate a récupéré votre mot de passe sur un site compromis, il l’essaie automatiquement sur :
votre messagerie
vos réseaux sociaux
vos comptes professionnels
vos outils SaaS
Cette technique s’appelle le credential stuffing et elle est responsable d’une immense partie des piratages actuels.
Pourquoi les passphrases changent complètement la donne
Une passphrase est une phrase longue, naturelle, facile à retenir, mais incroyablement longue pour un ordinateur.
Exemple :MonVoisinA3ChiensQuiAboientLaNuit
C’est lisible, mémorisable, et pratiquement impossible à brute-forcer.
C’est aujourd’hui la recommandation officielle des experts en sécurité, notamment relayée par des organismes comme le National Institute of Standards and Technology.
Le problème du partage de mots de passe
Même avec un mot de passe très solide, un autre risque subsiste : la manière dont il est partagé.
Envoyer un mot de passe par mail, messagerie, ticket support ou fichier texte annule totalement la sécurité que vous venez de mettre en place. Ces canaux sont historisés, sauvegardés, indexés.
C’est précisément pour résoudre ce problème que des outils comme https://seecret.it permettent de partager un mot de passe via un lien à usage unique, qui devient inactif après consultation.
Ainsi, le mot de passe n’existe jamais en clair dans une messagerie ou un historique.
Tester si vos mots de passe ont déjà fuité
Avant même de renforcer vos mots de passe, il est utile de vérifier si vos adresses apparaissent dans des bases compromises. Des services publics permettent cette vérification, comme celui proposé par Have I Been Pwned.
Si votre adresse y apparaît, il est urgent de :
changer les mots de passe concernés
ne plus jamais les réutiliser
adopter des passphrases longues
Ce qu’il faut retenir
Les capacités de calcul actuelles ont rendu obsolètes les anciennes règles de création de mots de passe.
La complexité ne protège plus. La longueur, si.
Mais la véritable sécurité ne repose pas uniquement sur le mot de passe lui-même : elle dépend aussi de la manière dont il est stocké, transmis et renouvelé.
C’est cette combinaison — mot de passe long + non réutilisé + partage sécurisé — qui permet réellement de se protéger aujourd’hui.