{"id":964,"date":"2025-11-18T05:35:05","date_gmt":"2025-11-18T04:35:05","guid":{"rendered":"https:\/\/seecret.it\/blog\/?p=964"},"modified":"2025-12-15T05:16:21","modified_gmt":"2025-12-15T04:16:21","slug":"les-pires-fails-de-partage-de-mot-de-passe","status":"publish","type":"post","link":"https:\/\/seecret.it\/blog\/les-pires-fails-de-partage-de-mot-de-passe\/","title":{"rendered":"Les pires fails de partage de mot de passe"},"content":{"rendered":"

Les pires fails de partage de mot de passe\u2026 et comment Seecret.it aurait tout \u00e9vit\u00e9<\/h2>\n

1. Le mot de passe admin partag\u00e9\u2026 puis modifi\u00e9<\/h3>\n

Dans une petite entreprise, tout le monde utilisait le m\u00eame login \u201cadmin\u201d pour acc\u00e9der \u00e0 l\u2019interface de gestion. Pas de comptes perso, pas de permissions, rien.
Un jour, un employ\u00e9 se d\u00e9connecte, d\u00e9cide de changer ce fameux mot de passe pour \u201csecuriser un peu l\u2019acc\u00e8s\u201d (bonne intention)\u2026 puis il oublie totalement de pr\u00e9venir qui que ce soit.
Le r\u00e9sultat est \u00e9vident : plus personne ne peut se connecter, la production s\u2019arrete net, l\u2019infog\u00e9rant doit casser l\u2019acc\u00e8s, et l\u2019incident finit par couter plusieurs milliers d\u2019euros.
La conclusion tombe d\u2019elle-m\u00eame : partager un compte admin est d\u00e9j\u00e0 une mauvaise id\u00e9e, mais le partager sans aucun suivi, c\u2019est la garantie d\u2019un crash.<\/p>\n

2. Le mot de passe envoy\u00e9 en clair\u2026 au mauvais destinataire<\/h3>\n

Un utilisateur envoie par mail le mot de passe du serveur FTP au webdesigner. Il tape rapidement l\u2019adresse, un peu trop vite d\u2019ailleurs, et une simple coquille envoi le message vers quelqu\u2019un d\u2019autre portant un nom quasi identique.
Le destinataire ne r\u00e9pond jamais \u2014 normal, il n\u2019a rien demand\u00e9 et ne comprends m\u00eame pas pourquoi il recoit l\u2019info.
Quelques semaines plus tard : intrusion dans le serveur. Et l\u00e0, personne ne comprend comment \u00e7a a pu arriver.
Envoyer un mot de passe en clair est deja une erreur\u2026 mais l\u2019envoyer \u00e0 la mauvaise personne, c\u2019est le combo fatal.<\/p>\n

3. Le Google Doc partag\u00e9 \u201cavec tout le monde\u201d<\/h3>\n

Pour s\u2019organiser, l\u2019\u00e9quipe cr\u00e9e un Google Sheets contenant tous les mots de passe de la bo\u00eete : r\u00e9seaux sociaux, h\u00e9bergements, serveurs, prestataires\u2026
Le document est en \u201ctoute personne disposant du lien peut modifier\u201d.
Il suffit qu\u2019un seul lien fuite \u2014 une seule fois \u2014 et c\u2019est termin\u00e9. Acc\u00e8s illimit\u00e9s, suppressions accidentelles, comptes d\u00e9tourn\u00e9s\u2026 bref, la porte grande ouverte.
Les documents collaboratifs sont pratiques, mais ce ne sont pas des coffres-forts. Ils ne sont vraiment pas fait pour stocker des infos sensible.<\/p>\n

4. L\u2019employ\u00e9 qui part\u2026 avec tous les acc\u00e8s<\/h3>\n

Dans une PME, un salari\u00e9 quitte l\u2019entreprise. Avant de partir, il transmet ses acc\u00e8s au rempla\u00e7ant\u2026 mais conserve plusieurs identifiants sensibles auxquels il n\u2019aurait plus jamais d\u00fb avoir acc\u00e8s.
Quelques mois plus tard, un ancien coll\u00e8gue lui demande un coup de main, il se reconnecte sans mauvaise intention \u2014 mais sans autorisation non plus.
R\u00e9sultat : violation juridique, audit, et proc\u00e9dure interne.
Les acc\u00e8s doivent \u00eatre personnels, r\u00e9voqu\u00e9s au d\u00e9part, et jamais partag\u00e9 \u00e0 l\u2019aveuglette.<\/p>\n

5. Le mot de passe super admin dans un groupe WhatsApp<\/h3>\n

Une \u00e9quipe discute sur WhatsApp pour aller vite. Un jour, quelqu\u2019un balance le mot de passe super admin, celui qui permet de tout faire : supprimer les comptes, modifier les droits, acc\u00e9der aux fichiers\u2026
Quelques minutes apr\u00e8s, la capture d\u2019\u00e9cran circule, le mot de passe se retrouve dans les sauvegardes cloud de plusieurs t\u00e9l\u00e9phones, et l\u2019information devient incontr\u00f4lable.
Quelques semaines plus tard, un t\u00e9l\u00e9phone est vol\u00e9. L\u2019acc\u00e8s au mot de passe suit\u2026 et une tentative de ran\u00e7on arrive dans la foul\u00e9e.
Les messageries instantan\u00e9es ne sont pas faites pour partager des mots de passe. Jamais. JAMAIS (vraiment).<\/p>\n

\n

Comment \u00e9viter ces fails (sans devenir parano) ?<\/h2>\n

La s\u00e9curit\u00e9 n\u2019a pas besoin d\u2019\u00eatre compliqu\u00e9e. Elle doit juste \u00eatre bien faite.
D\u00e9j\u00e0, \u00e9viter d\u2019envoyer un mot de passe en clair est un \u00e9norme pas : un mail est stock\u00e9 dans des tas d\u2019endroits, un message WhatsApp appara\u00eet dans toutes les sauvegardes cloud, un SMS peut \u00eatre intercept\u00e9.
Ensuite, un mot de passe partag\u00e9 ne devrait jamais \u00eatre permanent. Il doit \u00eatre temporaire, limit\u00e9 en permissions, r\u00e9voquable et tra\u00e7able. Sinon, c\u2019est l\u2019erreur assur\u00e9e t\u00f4t ou tard.<\/p>\n

Et surtout : utiliser un outil d\u00e9di\u00e9.
Avec Seecret.it, on g\u00e9n\u00e8re un lien s\u00e9curis\u00e9, chiffr\u00e9, \u00e0 usage unique. La personne ouvre, lit, et le lien disparait automatiquement. Personne ne peut le forwarder, l\u2019intercepter ou le retrouver dans un historique.
C\u2019est simple, rapide et \u00e7a \u00e9vite litt\u00e9ralement tous les sc\u00e9narios catastrophes cit\u00e9s plus haut.<\/p>\n

\n

Le bon r\u00e9flexe avant d\u2019envoyer un mot de passe<\/h2>\n

Avant de partager un acc\u00e8s, on devrait toujours se poser quelques questions :
Est-ce que je suis sur le point d\u2019envoyer \u00e7a en clair ?
Est-ce que je pourrais cr\u00e9er un compte utilisateur plut\u00f4t que partager celui-ci ?
Est-ce qu\u2019il va expirer ?
Est-ce que la personne pourra le modifier sans me pr\u00e9venir ?
Et surtout : est-ce que je pourrais pas juste l\u2019envoyer via Seecret.it ?
Si une seule r\u00e9ponse cloche\u2026 mieux vaut arr\u00eater avant de cr\u00e9er le prochain fail de cette liste.<\/p>\n

 <\/p>\n

\n

\ud83e\uddf0 Checklist rapide avant de partager un mot de passe<\/h2>\n
\n

\u00c0 coller sur ton frigo (ou sur ton bureau) :<\/p>\n<\/blockquote>\n

\u2714 Est-ce que je suis sur le point d\u2019envoyer ce mot de passe en clair ?
\u2714 Est-ce un mot de passe sensible (admin, serveur, e-mail, web\u2026) ?
\u2714 Ai-je limit\u00e9 les permissions ?
\u2714 Puis-je cr\u00e9er un compte utilisateur au lieu de partager celui-ci ?
\u2714 Est-ce que le mot de passe expirera ?
\u2714 Est-ce que la personne pourra le modifier sans me pr\u00e9venir ?
\u2714 Est-ce que je peux plut\u00f4t l\u2019envoyer via Seecret.it ?<\/p>\n

Si la r\u00e9ponse est \u201cnon\u201d \u00e0 une seule question\u2026
\u21e2 STOP.<\/strong>
Tu t\u2019appr\u00eates \u00e0 cr\u00e9er un futur \u201cfail\u201d de cet article.<\/p>\n

\n

\ud83d\udcca Tableau comparatif des m\u00e9thodes de partage<\/h2>\n
\n
\n\n\n\n\n\n\n\n\n\n
M\u00e9thode<\/th>\nS\u00e9curit\u00e9<\/th>\nContr\u00f4le<\/th>\nTra\u00e7abilit\u00e9<\/th>\nRisque<\/th>\n<\/tr>\n<\/thead>\n
E-mail<\/td>\n\u274c<\/td>\n\u274c<\/td>\n\u274c<\/td>\nTr\u00e8s \u00e9lev\u00e9<\/td>\n<\/tr>\n
WhatsApp \/ Messenger<\/td>\n\u274c<\/td>\n\u274c<\/td>\n\u274c<\/td>\nCatastrophique<\/td>\n<\/tr>\n
Google Docs<\/td>\n\u274c<\/td>\n\u274c<\/td>\n\u274c<\/td>\n\u00c9lev\u00e9<\/td>\n<\/tr>\n
Gestionnaire de mots de passe<\/td>\n\u2714\u2714<\/td>\n\u2714<\/td>\nMoyen<\/td>\nFaible<\/td>\n<\/tr>\n
Seecret.it<\/strong><\/td>\n\u2714\u2714\u2714<\/td>\n\u2714\u2714\u2714<\/td>\n\u2714\u2714<\/td>\nTr\u00e8s faible<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Les pires fails de partage de mot de passe\u2026 et comment Seecret.it aurait tout \u00e9vit\u00e9 1. Le mot de passe admin partag\u00e9\u2026 puis modifi\u00e9 Dans une petite entreprise, tout le monde utilisait le m\u00eame login \u201cadmin\u201d pour acc\u00e9der \u00e0 l\u2019interface de gestion. Pas de comptes perso, pas de permissions, rien.Un jour, un employ\u00e9 se d\u00e9connecte,…<\/p>\n","protected":false},"author":1,"featured_media":967,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"none","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[21],"tags":[50,48,49,20,53,54,17,55,52,51],"class_list":["post-964","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-securite","tag-confidentialite","tag-fail-mot-de-passe","tag-informations-sensibles","tag-lien-a-usage-unique","tag-mot-de-passe-temporaire","tag-partage-confidentiel","tag-partage-securise","tag-protection-des-informations","tag-securite-des-donnees","tag-seecret-it"," c-blog-1-item nt-post-class"],"_links":{"self":[{"href":"https:\/\/seecret.it\/blog\/wp-json\/wp\/v2\/posts\/964","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/seecret.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/seecret.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/seecret.it\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/seecret.it\/blog\/wp-json\/wp\/v2\/comments?post=964"}],"version-history":[{"count":6,"href":"https:\/\/seecret.it\/blog\/wp-json\/wp\/v2\/posts\/964\/revisions"}],"predecessor-version":[{"id":1121,"href":"https:\/\/seecret.it\/blog\/wp-json\/wp\/v2\/posts\/964\/revisions\/1121"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/seecret.it\/blog\/wp-json\/wp\/v2\/media\/967"}],"wp:attachment":[{"href":"https:\/\/seecret.it\/blog\/wp-json\/wp\/v2\/media?parent=964"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/seecret.it\/blog\/wp-json\/wp\/v2\/categories?post=964"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/seecret.it\/blog\/wp-json\/wp\/v2\/tags?post=964"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}