Cyberattaque mots de passe : comment se protéger efficacement selon un expert CISO

## Cyberattaque et mots de passe : comprendre les vecteurs d’attaque pour mieux se défendre

La protection des mots de passe face aux cyberattaques est le sujet central de mon travail quotidien en tant que consultant CISO. Et le constat est toujours le même lors de mes audits : la majorité des compromissions que j’analyse auraient pu être évitées avec trois mesures fondamentales — un gestionnaire de mots de passe, l’authentification à deux facteurs, et une compréhension minimale des vecteurs d’attaque.

Cet article est ma tentative de vulgariser ce que révèle l’audit des incidents de sécurité réels, pour que vous puissiez prendre des décisions informées sur votre posture de sécurité.

## Les principales attaques ciblant vos mots de passe

### 1. Le credential stuffing : l’attaque la plus répandue

Le credential stuffing (ou bourrage de credential) est l’attaque la plus fréquente dans mes dossiers d’incident. Le principe : des attaquants utilisent des listes de couples identifiant/mot de passe volés lors de fuites passées (HaveIBeenPwned en recense des milliards) pour tenter de se connecter automatiquement sur d’autres services.

Le problème fondamental qu’exploite cette attaque : **la réutilisation des mots de passe**. Si vous utilisez le même mot de passe sur LinkedIn (qui a subi une fuite en 2012) et sur votre compte bancaire, les attaquants testent automatiquement les mêmes credentials sur les deux.

**Ce que révèle l’audit de ce vecteur d’attaque :** Les organisations qui ont déployé un gestionnaire de mots de passe avec des mots de passe uniques pour chaque service sont naturellement immunisées contre le credential stuffing. Un mot de passe unique par service, même si un service est compromis, ne permet pas d’attaquer les autres.

La bonne pratique c’est de vérifier votre exposition sur [haveibeenpwned.com](https://haveibeenpwned.com) — si votre email apparaît dans des fuites connues, changez immédiatement les mots de passe des services concernés ET de tous les services où vous utilisiez le même mot de passe.

### 2. Le phishing : la menace persistante et évolutive

Le phishing reste l’un des vecteurs d’attaque les plus efficaces malgré sa notoriété. Les techniques évoluent constamment :

**Spear phishing :** Emails personnalisés avec des informations vraies sur la victime (prénom, entreprise, collègues) pour augmenter la crédibilité. Un email qui commence par « Bonjour Thomas, suite à notre réunion de jeudi… » a plus de chance d’être cliqué qu’un email générique.

**Phishing de gestionnaire de mots de passe :** Les attaquants créent des faux sites identiques à l’interface de connexion de NordPass, 1Password ou Bitwarden pour capturer le mot de passe maître. C’est particulièrement dangereux car un mot de passe maître donne accès à TOUS les autres mots de passe.

**Adversary-in-the-Middle (AiTM) :** Les attaques modernes de phishing proxifient le site légitime en temps réel, contournant même certaines formes de 2FA par SMS ou email. Ces attaques contournent les tokens d’authentification après que l’utilisateur s’est connecté.

**Protection :** L’authentification à deux facteurs par clé physique (FIDO2/WebAuthn — YubiKey, Google Titan) est la seule protection robuste contre les attaques AiTM. Les gestionnaires de mots de passe protègent indirectement via le remplissage automatique (ils ne remplissent que sur le domaine légitime), mais ce n’est pas suffisant face aux proxies transparents.

### 3. Les attaques par force brute et dictionnaire

Les attaques par force brute consistent à tester systématiquement des combinaisons de caractères jusqu’à trouver le bon mot de passe. Les attaques par dictionnaire sont plus sophistiquées : elles testent des mots, expressions et variations connues.

Du point de vue sécurité, la longueur compte plus que la complexité. Un mot de passe de 12 caractères complexes est cassable en quelques heures avec du matériel GPU dédié. Une passphrase de 20 caractères simples prend des millénaires.

Ce que révèle l’audit des recommandations actuelles (NIST SP 800-63B) : l’approche historique « complexité » (majuscules, chiffres, symboles) est moins efficace que la longueur. Le NIST recommande désormais d’abandonner les règles de composition complexes au profit de mots de passe longs et de l’utilisation d’un gestionnaire.

**Protection :** Un gestionnaire de mots de passe génère des mots de passe aléatoires de 20-32 caractères — impossibles à attaquer par force brute dans un délai raisonnable avec les technologies actuelles et prévisibles.

### 4. Le keylogging et les malwares infostealer

Les malwares de type keylogger enregistrent toutes vos frappes clavier. Les infostealers (Raccoon Stealer, RedLine, Vidar…) sont plus sophistiqués : ils ciblent spécifiquement les mots de passe enregistrés dans les navigateurs, les cookies de session, et les fichiers de configuration.

Du point de vue sécurité, c’est le vecteur d’attaque contre lequel les gestionnaires de mots de passe protègent le moins bien, car le malware intercepte les données après le déchiffrement, au moment où vous les utilisez.

**Données préoccupantes :** Les logs de Raccoon Stealer et similaires contiennent souvent les mots de passe exportés de Chrome et Firefox (stockés en clair dans des fichiers SQLite accessibles sans élévation de privilèges). Les gestionnaires de mots de passe dédiés avec une couche d’authentification supplémentaire sont plus difficiles à extraire.

**Protection :** Solution antivirus/EDR à jour, principe du moindre privilège, mise à jour régulière du système, et authentification biométrique sur le gestionnaire de mots de passe (qui limite la fenêtre d’exposition).

### 5. Les attaques sur les bases de données (breach/dump)

Lors d’une violation de données d’un service (site e-commerce, réseau social, SaaS), les attaquants obtiennent généralement une base de données d’utilisateurs avec des hashes de mots de passe.

Si le site utilisait un hashage faible (MD5, SHA-1 sans sel), ces hashes peuvent être cassés rapidement par force brute. Avec des hashes modernes (bcrypt, Argon2), le cassage est très lent mais pas impossible si le mot de passe original était faible.

**Ce que révèle l’audit de ce vecteur :** Un mot de passe fort et unique généré par un gestionnaire est doublement protégé — fort contre le cassage du hash, et unique donc sans impact sur les autres comptes.

## Comment un gestionnaire de mots de passe protège contre ces attaques

**Contre le credential stuffing :** Mots de passe uniques par service — protection totale.

**Contre le phishing :** Le remplissage automatique ne fonctionne que sur le domaine exact correspondant à l’entrée enregistrée. Un faux site `1password-login.com` ne déclenchera pas le remplissage automatique de votre compte `1password.com`. Protection partielle (les AiTM contournent cette protection).

**Contre la force brute :** Mots de passe aléatoires de 20-32 caractères — protection totale.

**Contre le keylogging :** Protection partielle. Le remplissage automatique réduit le nombre de frappes clavier, mais un keylogger peut toujours capturer le mot de passe maître. La biométrie (Face ID, empreinte) réduit ce risque.

**Contre les dumps de base :** Mots de passe forts et uniques — protection totale côté impact sur les autres comptes.

## Comparatif sécurité des principaux gestionnaires en 2025

En me basant sur mes audits et les rapports publics disponibles :

**NordPass :** XChaCha20 + Argon2id, audité par Cure53. Architecture solide. Zéro violation connue. Société lituanienne, donc directement soumise au RGPD. [nordpass.com](https://nordpass.com)

**1Password :** AES-256 + PBKDF2 + Secret Key. Audité par Cure53 et autres. Zero violations connues. La Secret Key est une protection supplémentaire unique contre les attaques sur les coffres volés. [1password.com](https://1password.com)

**Bitwarden :** AES-256 + PBKDF2, open source, audité Cure53. La transparence du code est son principal atout sécurité. Zéro violation connue. [bitwarden.com](https://bitwarden.com)

**Dashlane :** AES-256 + PBKDF2, audits réalisés. Zéro violation connue. [dashlane.com](https://dashlane.com)

**Keeper :** AES-256 + PBKDF2, ISO 27001, SOC 2 Type II, FedRAMP. Le plus certifié du marché. [keeper.com](https://keeper.com)

**LastPass :** AES-256, mais violation majeure en 2022 avec vol de coffres chiffrés et métadonnées en clair. Les coffres volés avec des mots de passe maîtres faibles sont potentiellement compromis. La bonne pratique c’est de migrer si vous êtes encore sur LastPass.

## Recommandations finales : ma stratégie de défense en couches

En tant que CISO, voici la stratégie que je recommande :

**Couche 1 — Gestionnaire de mots de passe :** Choisissez l’un des quatre gestionnaires solides (NordPass, 1Password, Bitwarden, Dashlane). Générez des mots de passe aléatoires uniques pour chaque service.

**Couche 2 — Mot de passe maître fort :** Votre mot de passe maître doit être une passphrase de 20+ caractères ou un mot de passe aléatoire de 15+ caractères. C’est la clé de tout votre coffre.

**Couche 3 — 2FA sur le gestionnaire ET les services critiques :** Activez l’authentification à deux facteurs avec une application TOTP (pas SMS si possible) sur votre gestionnaire de mots de passe, votre email principal, vos comptes bancaires, et votre fournisseur cloud.

**Couche 4 — Clé physique FIDO2 pour les comptes ultra-critiques :** Pour les accès les plus sensibles (infrastructure cloud, accès root, systèmes financiers), une clé YubiKey ou similaire est la protection la plus robuste contre le phishing avancé.

**Couche 5 — Surveillance et réponse :** Activez les notifications de connexion sur vos services critiques. Vérifiez haveibeenpwned.com régulièrement. Ayez une procédure de réponse à incident documentée pour le cas où un compte est compromis.

## FAQ — Cyberattaque et protection des mots de passe