« Votre mot de passe doit contenir 8 caractères, une majuscule, une minuscule, un chiffre et un caractère spécial. »
Nous connaissons tous cette règle. Et pourtant, en cybersécurité, c’est ce que l’on appelle du “théâtre de sécurité”. Un mot de passe comme P@ssw0rd1! respecte toutes ces règles, mais sera cassé en un clin d’œil par n’importe quel logiciel de piratage moderne.
La véritable sécurité ne repose pas sur des règles visuelles arbitraires, mais sur une réalité mathématique implacable : l’entropie.
L’Entropie selon Claude Shannon
Pour comprendre la force d’un mot de passe, il faut se tourner vers Claude Shannon, le père de la théorie de l’information. L’entropie mesure le degré d’incertitude ou d’imprévisibilité d’une information.
Appliquée aux mots de passe, l’entropie se calcule en bits. Plus le nombre de bits est élevé, plus le mot de passe est imprévisible pour un ordinateur. La formule simplifiée de l’entropie (E) d’un mot de passe généré aléatoirement est :
E = L × log2(R)
- L est la longueur du mot de passe.
- R est la taille du répertoire (26 pour les minuscules, 62 avec les majuscules et chiffres, 94 avec les symboles).
Augmenter la taille du répertoire (ajouter des symboles) augmente l’entropie, mais augmenter la longueur (ajouter des caractères) l’augmente de façon beaucoup plus drastique. Cependant, la longueur ne bat la complexité qu’à une seule condition : que le mot de passe soit généré aléatoirement.
Force brute vs Attaque par dictionnaire
Si vous utilisez des mots ou des structures prévisibles, la règle de la longueur pure s’effondre.
Les logiciels de piratage n’essaient pas toutes les combinaisons de lettres une par une (ce qu’on appelle la Force Brute). Ils utilisent des bases de données massives contenant des milliards de mots existants, de phrases courantes et de fuites de données antérieures. C’est l’Attaque par Dictionnaire.
Si votre mot de passe est long, mais composé de mots du dictionnaire ou de substitutions prévisibles, son entropie réelle est dramatiquement plus faible que son entropie mathématique théorique.
Voici les délais de craquage estimés face à un cluster de cartes graphiques modernes (GPU), en mettant en gras le chemin le plus rapide trouvé profitant des faiblesses structurelles :
| Mot de passe | Entropie théorique | Face à la Force Brute | Face à un Dictionnaire |
|---|---|---|---|
password123 | ~15 bits | Quelques heures | Instantané |
S3cr3t!99 | ~40 bits | Quelques années | Quelques heures / jours (via mutations) |
correct horse battery staple | ~130 bits | Des milliards d’années | Quelques heures / jours |
gL7!pQ9z#vX2 | ~78 bits | ~3 000 ans | Échec (Retour à la force brute) |
L’illusion du Leetspeak et les règles de mutation
Prenons l’exemple de S3cr3t!99. Visuellement, il semble complexe et robuste. Pourtant, il s’agit simplement du mot du dictionnaire “secret”, où les ’e’ ont été remplacés par des ‘3’, auquel on a ajouté un suffixe très courant (!99). C’est ce qu’on appelle le leetspeak.
Face à une attaque par dictionnaire, ce mot de passe ne tiendra que quelques heures, voire quelques minutes. Les logiciels de craquage modernes (comme Hashcat) ne se contentent pas de tester des listes de mots figées ; ils appliquent automatiquement des règles de mutation. Ils vont prendre chaque mot de leur dictionnaire, tester toutes les combinaisons de leetspeak possibles, inverser les majuscules, et y accoler des années ou des symboles. Le leetspeak offre un faux sentiment de sécurité.
L’astuce du changement de clavier (Keyboard Shift)
Pour complexifier une phrase mémorisable, certains utilisent l’astuce du décalage de disposition de clavier. Par exemple, vous mémorisez une phrase comme mon-chat. Mais au moment de la taper, vous posez vos doigts sur un clavier physique AZERTY (français) tout en ayant configuré votre système d’exploitation en QWERTY (anglais).
- Le mot pensé :
mon-chat - Le résultat tapé :
;on-chqt(La touche ’m’ devient ‘;’ et le ‘a’ devient ‘q’).
Est-ce une bonne idée en OPSEC ? Non, cette méthode n’est pas suffisante si elle est utilisée seule. Exactement comme pour le leetspeak, les logiciels de craquage avancés intègrent des règles de mutation matérielles qui testent automatiquement les décalages de claviers internationaux (QWERTY, AZERTY, QWERTZ, Dvorak). En OPSEC, c’est de la sécurité par l’obscurité : cela retarde un attaquant amateur, mais ne l’arrête pas face à une attaque ciblée et équipée.
Cependant, si cette technique est couplée à un mot de passe déjà fort à la base (comme une passphrase mémorisable très longue), elle augmente encore l’entropie de manière significative en introduisant des caractères spéciaux inattendus au sein d’une structure déjà robuste.
La construction du mot de passe idéal (~250 bits)
Si les listes de mots, le leetspeak et les astuces de frappe ont leurs limites, comment construire le mot de passe maître parfait ? Pour atteindre une sécurité optimale et résister aux outils de calcul de nouvelle génération, l’objectif actuel est de viser environ 250 bits d’entropie.
Il existe deux manières d’y parvenir selon vos besoins :
1. L’option purement aléatoire (Idéal pour un gestionnaire de mots de passe)
Une chaîne de caractères générée de manière totalement aléatoire, ce qui la rend extrêmement difficile à deviner pour une machine :
k9$Yz2!pL#8vQx5@mN7*jW4&hC1%bF3^tR9(dZ6
39 caractères aléatoires utilisant tout le répertoire de symboles.
2. L’option Passphrase hybride (Idéal pour un mot de passe maître mémorisable)
Une suite de mots de dictionnaire générés aléatoirement, combinée de manière stricte avec des chiffres et des symboles :
Sovereign_Crypto_99_Privacy_Zero_Knowledge_Secure_2026_Key_Lock_Cloud_Act_Grover
Cette méthode permet à un humain de mémoriser visuellement ou musculairement une structure, tout en conservant une barrière mathématique gigantesque.
La menace quantique : L’algorithme de Grover
Pourquoi viser 250 bits alors que 128 bits bloquent déjà les supercalculateurs d’aujourd’hui ? La réponse réside dans l’avènement de l’informatique quantique.
En cryptographie, l’algorithme de Grover permet à un ordinateur quantique de chercher dans une base de données non triée de manière beaucoup plus rapide qu’un ordinateur classique. Concrètement, Grover réduit de moitié le niveau de sécurité effectif d’une clé symétrique ou d’un mot de passe.
Face à un ordinateur quantique exécutant l’algorithme de Grover, un mot de passe avec une entropie de 128 bits n’offrira qu’une résistance équivalente à 64 bits (ce qui devient craquable).
Par conséquent, pour conserver une sécurité réelle de 128 bits dans un monde post-quantique, il est nécessaire de doubler l’entropie au départ. C’est l’un des piliers du concept de Harvest Now, Decrypt Later (HNDL) : les attaquants d’État aspirent les données chiffrées aujourd’hui pour les casser demain. Viser 250 bits d’entropie est le standard minimal pour protéger vos clés maîtresses sur le long terme.
Arpokrat Password Generator : Testez vous-même
Ne laissez pas la sécurité de vos accès au hasard. Nous avons développé un outil interne qui vous permet de générer des mots de passe robustes cryptographiquement (y compris post-quantiques), et surtout d’évaluer l’entropie réelle de vos propres mots de passe.
Testez vos mots de passe actuels pour voir s’ils résisteraient à la puissance de calcul moderne. L’outil fonctionne à 100% localement dans votre navigateur, aucune donnée ne circule sur le réseau.
Le maillon faible final : Recyclage et gestion des accès
L’entropie mathématique ne protège pas contre l’erreur humaine. Un mot de passe de 250 bits est inutile s’il est réutilisé sur plusieurs sites (une attaque appelée Credential Stuffing) ou s’il n’est pas protégé par un second facteur d’authentification (2FA).
La règle d’or de l’hygiène numérique est de n’avoir à retenir qu’un seul mot de passe : votre mot de passe maître de 250 bits (sous forme de passphrase hybride). Tous vos autres accès (banque, réseaux sociaux, serveurs) doivent utiliser des mots de passe uniques de 250 bits d’entropie pure (les chaînes de caractères aléatoires) générés spécifiquement pour eux.
Pour stocker et gérer ce volume de clés impossibles à retenir de tête, l’utilisation d’un gestionnaire de mots de passe Zero-Knowledge est indispensable. Un des meilleurs standards actuels est Proton Pass. Basé en Suisse, open-source et chiffré de bout en bout, il garantit que même ses propres ingénieurs ne peuvent pas lire le contenu de votre coffre-fort. C’est le compagnon idéal pour stocker les clés surpuissantes générées par Arpokrat, verrouillant l’ensemble de votre vie numérique derrière une véritable barrière mathématique.