Outils de cybersécurité

02 novembre 2025

De quoi ? « IL » a un mot de passe ? J'y crois pas...

Comment sont utilisés les mots de passe ? Et comment retrouver un mot de passe perdu ? Et où ils sont rangés, d'ailleurs ?

Laissez-passer

😎 Imagine que tu veuilles entrer dans ton club privé préféré.

😒 Mouais

🤵 À l'entrée, le cerbère te réclame le mot de passe.

😬 C'était il y a longtemps. Et dans une autre galaxie.

Est-ce que la porte va s'ouvrir ?

🙄 Si j'ai donné le bon mot de passe, bien sûr !

Donc quelqu'un a réalisé une comparaison entre ce que tu as dit et le mot de passe convenu,

puis si la comparaison est positive, a ouvert la porte

Et alors je peux entrer

Ça veut dire que le cerbère connait le mot de passe en clair.

😏 Ah ben ça, forcément.

😈 Donc on pourrait torturer le cerbère pour connaitre le mot de passe.

🥴 Certes. Une faille de sécurité ?

Oui. Informatiquement, il faut faire mieux, car en pratique, le cerbère n'est qu'un morceau de code, un programme.

Nous utilisons à présent pas mal de mots de passe dans diverses situations informatiques, mais aussi dans divers matériels comme les télécommandes de portes de garage, de voitures, d'alarmes, j'en passe et des meilleures : Homer et les garages

Il existe donc un problème de secret, et pas des moindres. Avec deux aspects, suivant le côté où on se trouve :

Du côté du service rendu (le cerbère du cas précédent), il faut stocker le mot de passe de manière sécurisée. Ainsi que s'assurer que la communication du mot de passe soit secrète, que personne ne puisse écouter.
Du côté de l'utilisateur, il devra se souvenir du mot de passe, et donc également le stocker de manière sécurisée. Au moment de l'utiliser, il faudra bien transmettre le mot de passe en clair à un moment ou à un autre...

D'où tout ce cinéma pour accéder à nos « espaces clients » que maintenant beaucoup de personnes connaissent, mais rarement sans savoir ce qui se passe effectivement. Nous allons éclaircir cela pour la partie enquiquinante, celle où nous devons nous-même gérer nos mots de passe. En ce qui concerne les télécommandes, c'est différent car caché dans les puces électroniques, avec le cas particulier de l'OTP, le One Time Password, ces espèces de boitiers qui vous donnent un mot de passe à chaque fois que vous vous connectez.

Ce truc-là vous file un nouveau code à chaque fois que vous vous en servez.

Gestionnaire de mots de passe

"Do you know what I love about pen and paper ? Nobody can hack into this shit."
- Valentine / Samuel L. Jackson, Kingsman: The Secret Service

Vous voilà confronté au problème de stocker tous vos mots de passe de manière pratique. Et là, pas de miracle :

Soit vous le faites à l'ancienne, autrement dit un carnet et un crayon. Certainement la méthode la plus sûre, car aucun pirate ne pourra accéder à votre carnet physique. Avec le défaut de ne pas perdre le précieux carnet, qui aura rarement un duplicata sauvegardé quelque part, car c'est vraiment malcommode.

Le carnet de mots de passe : on fait difficilement mieux côté sécurité informatique.
Rangez-le dans un coffre-fort.

Soit vous le faites informatiquement. Et là, ça peut être malin ou un carnage suivant la méthode.

Sauvegarde électronique

Du côté solution informatique, le pire est de les écrire dans un fichier texte stocké quelque part sur votre disque dur. Aucune protection, c'est à la portée de n'importe quel programme de recherche qui aura vite fait de trouver le fichier et de le lire, surtout si vous avez eu le malheur d'écrire en plus quelques mots-clés comme "identifiant" et "mot de passe"...

Une astuce débile enfin, qui parait débile qui empêchera les malfrats à rechercher vos mots de passe dans vos fichiers de type texte (.txt, word et consort) avec un algorithme de recherche.

Dessinez-les dans une image. Oui, c'est tout con, mais efficace.

Si votre niveau de paranoïa est élevé, vous pourrez en plus cacher l'image de vos mots de passe dans les bits de poids faibles d'une image anodine. De la stéganographie.

Sans parler des copies plus ou moins fantômes, en particulier celles qui traineront dans la corbeille, ou dans certains programmes d'affichage qui conservent quelque part une copie provisoire dans leur mémoire...

Lorsque vous effacez un fichier, celui-ci n'est pas détruit, c'est uniquement son adresse sur le disque qui est partiellement effacée. Il existe des programmes qui pourront récupérer des fichiers soi-disant effacés.

C'est même pire que ce que vous croyez : même quand on écrit par-dessus un fichier, il reste encore une trace magnétique, et sous certaines conditions, c'est récupérable. C'est pour ça que certains programmes de sécurité vous propose d'écrire plusieurs fois les zones libres de votre disque dur...

Il faudra impérativement protéger votre fichier de mots de passe, et de manière évidente, le chiffrer.

Programme spécialisé

Ah, ces images générées par IA, des erreurs trainent toujours...

Les vieux méfiants planqueront le fichier de mots de passe avec un programme de chiffrement dans lequel vous avez confiance, par exemple Truecrypt. Au moins, il ne pourra pas exister d'interactions à la con avec le reste du monde.

L'alternative est d'utiliser ce qui est appelé un « gestionnaire de mots de passe », un programme informatique qui se chargera non seulement de stocker vos mots de passe, mais qui pourra aussi s'arranger pour les fournir au moment où vous en avez besoin, plus ou moins automatiquement, ce qui peut être très commode. Voire trop commode.

Et ne me dites pas que vous ne vous êtes jamais servi de ça. C'est inévitable par défaut dans votre navigateur, gentil et prévenant comme il est...

Il est probable que vous utilisiez déjà le gestionnaire qui est inclus dans votre navigateur, par exemple Firefox, qui vous demandera —s'il est poli— s'il faut stocker le mot de passe. Alors, il l'insérera au moment où vous en avez besoin, ce qui vous évite le travail fastidieux de retrouver le mot de passe et de le taper.

Étant bien paranoïaque, jamais je n'utilise ce genre de logiciels, et surtout pas celui du navigateur, puisque si votre machine est compromise, alors le voleur aura accès à tout.

Et en plus, il faut avoir confiance, où votre paquet de mots de passe est-il stocké ? Sur votre machine, bien sûr. Et ailleurs ? Dans le cloud, les serveurs du navigateur, je ne sais où ?

Plus loin, nous verrons comment récupérer ces mots de passe, ça devrait vous faire froid dans le dos.

Condition d'accès

Il existe au moins un point commun à tous ces logiciels : il vous faudra montrer « patte blanche », autrement dit fournir un mot de passe que l'on peut qualifier de « principal », puisque c'est celui qui ouvrira la porte à tous les autres.

Et ce mot de passe-là, il faudra vraiment bien le protéger.

😁 T'as qu'à mettre ton mot de passe principal dans le gestionnaire, ça sert à ça, non ?

Consternant

T'as jamais claqué la porte de ta maison avec les clés dedans ? consternant

Ah ben les clés sont à l'intérieur. C'est con.
C'est pareil pour le gestionnaire de mots de passe.

Avec une variante biométrique, où c'est votre empreinte ou votre visage qui déverrouillera le coffre-fort, mais sachez qu'il se pose alors le problème de stockage de l'empreinte de référence, problème non résolu à ce jour. Et je sais de quoi je parle, j'ai bossé là-dedans presque toute ma vie.

Coup de bol pour vous, les hackers ne savent généralement pas comment ça marche. Mais bon, il suffit d'un seul pour casser le système, puis ça se propagera...

Gestion côté serveur

😒 Ouais, bon d'accord, j'ai compris, j'écris mes mots de passe dans un carnet.

🤨 Mais du côté du serveur, qui doit m'identifier, il ne va quand même pas se servir aussi d'un carnet ?

😋 Ah ben non, ça ne serait vraiment pas pratique du tout.

😬 Mais surtout, cela voudrait dire que le serveur connait ton mot de passe.

😒 Il faudra bien qu'il le connaisse pour m'identifier !

🙄 🙄 Il reste quelques crétins qui font encore comme ça, qui stockent les mots de passe en clair.

😦 Mais c'est carrément de la faute professionnelle de faire ainsi.

Ben alors, comment on fait ?

On utilise une fonction de hachage.

😮 Qu'est-ce que c'est ?

C'est une fonction qui ne marche que dans un sens.

En entrée, tu mets une encyclopédie ou un mot de passe

Et en sortie, tu obtiens un grand nombre unique

Et impossible de remonter à la source, au mot de passe.

La fonction de hachage transforme un mot de passe en un nombre qui parait aléatoire

Il suffit alors de transmettre uniquement le haché = le mot de passe transformé par la fonction de hachage, et de comparer le résultat.

Deux mots de passe différents auront toujours des hachés différents.
Deux mots de passe différents, même d'une seule lettre, auront des hachés très différents

Le nombre de chiffres du haché est suffisamment grand pour assurer son unicité. Genre plus grand que le nombre d'atomes de l'univers.

Je sais que cela parait surprenant au premier abord, mais c'est le cas. Il vous arrive d'ailleurs de voir des nombres de ce genre, par exemple exprimé en hexadécimal (des nombres avec des lettres dedans) dans les URL de site où vous vous reconnectez.

L'URL qui apparait semble étrangement longue : un nombre unique a été généré, pratiquement toujours rien que pour vous, afin d'obtenir un accès privilégié car il est impossible de deviner ce genre d'identifiant.

Voici comment est structuré une URL.
Et l'exemple est particulièrement crétin du point de vue sécurité, vous vous doutez pourquoi. consternant

De cette manière, le serveur peut stocker plein de hachés de mots de passe sans avoir besoin de faire du chiffrement. Et si un hackeur, ou qui que ce soit, accède au serveur, il ne pourra pas connaitre vos mots de passe.

C'est pour cette raison que jamais, ô grand jamais, une banque ou n'importe quelle administration ne vous demandera votre mot de passe car elle n'en n'aura jamais besoin, c'est totalement inutile. Ils ont le haché, c'est suffisant pour rendre le service. Et de plus, ils ont des mots de passe administrateurs pour accéder à l'ensemble de leurs données, bien évidemment. À gérer avec soin...

Ceci dit, il faut faire confiance au programme de comparaison.

Eh oui, si le programme est hacké, qu'il répond toujours oui par exemple, ce serait fâcheux.

Dans le temps, il a existé ce qu'on appelle des « Yes-card », des cartes de crédits qui répondent toujours oui (au lieu de bloquer l'accès si le code est mauvais), très pratiques pour faire des achats...

Cas des programmes de chiffrement

La même ruse que le haché est utilisée, mais cette fois le haché est directement la clé de chiffrement (algorithmes dits « de dérivation de clé »).

La clé n'existe donc pas tant que l'on n'a pas fourni le mot de passe qui est stocké nulle part, ce qui assure une très forte sécurité.

Et si vous avez perdu le mot de passe, c'est mort, sauf s'il était faible.

Saisie et transmission

Le coup du hachage des mots de passe est fort pratique pour la transmission entre votre clavier et le serveur.

Dès que le mot de passe est traité par la fonction de hachage, la sécurité est assurée.

Il ne reste que le trajet entre le clavier et le programme informatique de votre PC ou de votre smartphone qui reste vulnérable. Il est possible de créer des programmes qui vont stocker l'intégralité de ce qui est frappé au clavier, ce qui permet ensuite à un hackeur de consulter le résultat et retrouver votre mot de passe dedans. C'est typiquement votre navigateur qui doit être sécurisé, et c'est pour ça qu'il faut mettre votre navigateur à jour car s'il traine une faille de sécurité au moment de la saisie...

Vous avez dû remarquer que les banques vous demande de cliquer sur des chiffres à l'écran au lieu de vous demander un mot de passe. Elles sont tellement paranos (et c'est bien) qu'elles ne font pas confiance au clavier.

C'est vrai que ce sera vraiment difficile de capturer la séquence de clics et de déplacement de la souris, pour retrouver votre code secret, car en plus la banque change la position des chiffres à chaque fois...

Et pas question pour le navigateur de stocker le code secret, il ne serait pas foutu de s'en servir. Enfin pour l'instant.

🤚 Holà ! Hopopop !

😒 J'ai l'impression de me faire entuber avec ton histoire de viande hachée !

🧐 Plait-il ?

Que le mot de passe soit transformé en haché, d'accord.

Mais à la place, un haché est transmis ?

Oui

Puis comparé par le serveur, qui donne ensuite l'accès ?

T'as bien compris

Pas besoin de connaitre le mot de passe, il me suffit d'intercepter le haché pour entrer dans le système...

C'est vrai.

🤬 Grosse faille de sécurité, non ?

😮 Et ça ne te gêne pas ?!

Les transmissions entre ton navigateur et le serveur sont chiffrées.

Il faut donc d'abord casser le chiffrement éphémère de ta connexion, ce qui est pénible à faire si tant est qu'on y arrive, et le jeu en vaut rarement la chandelle.

😒 Et si ma connexion n'est pas sécurisée ?

🥺 Autant se promener à poil dans la rue...

Mais bon, ton mot de passe restera inconnu.

🙅 Ceci dit, si tu utilises le même mot de passe partout, ce sera le carnage.

Récupération de mot de passe

Carmélite tentant de récupérer le mot de passe perdu par cette abrutie de mère supérieure qui ne comprend rien à rien.
Authentique gravure du VIIIᵉ siècle, inutile de me demander des droits de reproduction ni d'où ça vient.

Je ne parle pas ici de craquage de mot de passe (voir plus loin), mais de récupérer les mots de passe restés stockés plus ou moins en clair dans votre système informatique.

Parce que oui, les mots de passe trainent, parfois pour de bonnes raisons.

Sous-sous-menu au fond d'une option

Il existe un endroit quelque part dans votre navigateur où vous pouvez gérer et retrouver vos mots de passe. Mais si, parmi tous ces sous-menus où vous n'allez jamais, de peur de mettre la zone.

Vous trouverez de nombreux sites qui vous diront comment faire, en voici un :

Comment retrouver un mot de passe perdu il y a longtemps ?
...
Z'avez qu'à chercher un peu.

Boite à outils

Au lieu de chercher comme un âne, autant utiliser un programme d'un bon samaritain qui sait où fouiller à votre place. Au moins, vous vous rendrez compte comme c'est facile de retrouver tout ça.

😈 Oui, mais si c'est un hackeur ?

Renseignez-vous d'abord sur la réputation du programme et du programmeur.

Passez votre antivirus sur les fichiers reçus.

Coupez la connexion Internet au moment de vous en servir, histoire de voir ce qui se passe.

Ceci dit, comme ces programmes vont farfouiller dans des zones plus ou moins sécurisées, il est possible que l'antivirus vous produise un faux positif, étant méfiants.

NirSoft

NirSoft nirsoft.net

NirSoft vous propose une tirée d'utilitaires gratuits faits par un gars (Nir Sofer) qui sait comment ça marche, et en plus réalise des exécutables sans avoir besoin d'installer quoi que soit (ce que j'ai toujours fait), et qui marchent sous XP la plupart du temps, sans dll particulière (il suffit de compiler de manière correcte pour faire ça). C'est du 32 bits, mais souvent une version 64 bit est aussi disponible.
Copier les exécutables sur une clé USB pour les avoir partout sous la main !
Alors oui, ça marche sur PC, ce n'est pas fait pour les smartphones, mais depuis le PC, il peut l'explorer.

Comme rappelé sur son site web, ces outils sont faits dans un but éducatif. Ne vous en servez pas pour faire des choses illégales, bien évidemment.

Installation

Sur le site de Nir Sofer :

Vous trouverez un tout petit fichier zip pour chaque outil.
À décompresser en utilisant le mot de passe fourni sur la page.
Votre antivirus fera suer : faudra le contourner ou ajouter une exception pour l'exécutable en question. C'est le cas dès le premier, WebBrowserPassView.
Si vous ne faites pas d'exception, votre antivirus râlera aussi dès que vous lancerez l'exécutable. Faudra l'arrêter. Si vous êtes méfiant (et c'est bien), coupez Internet.
Souvent, et optionnellement, vous pourrez récupérer aussi un fichier accessoire pour avoir une traduction en français.
Et en plus, Nir Sofer vous explique où sont planqués les mots de passe...

Nir Sofer n'a mis aucun malware ou trojan dans ses exécutables, et n'a que des ennuis avec les antivirus, il explique tout ça dans une page spécifique. Inutile de le contacter pour lui dire que son soft est infecté, vous lui ferez perdre son temps.
Perso, cet abruti d'Avast [ qui essaye toujours de me vendre des choses que je ne veux pas, commence donc par faire ton boulot de base ] est devenu tout fou.

Un package de plus de 200 utilitaires est proposé. Vous trouverez aussi les hachés qui vous permettront de contrôler l'intégrité de ce que vous récupérez, maintenant que vous savez ce que c'est.

Les outils utiles concernant les mots de passe

Inutile que je vous explique tout ça en détail, c'est très bien fait sur son site, je vais simplement vous indiquer les utilitaires relatifs aux mots de passe qui pourraient être utiles, car il en a une belle liste dont certains sont commodes que dans certains cas particuliers.

WebBrowserPassView
Va vous donner la liste des mots de passe stockés dans Chrome, Edge, Firefox, Opera...
Il faudra être connecté si vous avez un stockage dans le Cloud, évidemment.
WirelessKeyView
Va vous donner la liste des mots de passe des réseaux WiFi que vous avez déjà enregistrés (et pas ceux que vous n'avez jamais accédés, forcément). Vous allez voir des vieilles connexions oubliées, avec la date. 😁
Mail PassView
Va vous détailler vos comptes email sur Outlook et consorts. Avec quelques restrictions, par exemple si vous utiliser un master password sur Thunderbird, ou les clients web qui marchent uniquement sur le cloud.
Un autre utilitaire (PstPassword) permet de récupérer le mot de passe d'un fichier .pst, si vous aviez demandé à le chiffrer.
...
il y en a plein ! Cherchez celui qui vous sera utile pour vous dépanner.

Craquage de mot de passe

Il faut savoir qu'il existe des logiciels permettant de craquer les mots de passe. Je vous dis cela surtout pour vous sensibiliser à utiliser des mots de passe vraiment longs, surtout si cela concerne des choses importantes.

Il n'y a pas tant de techniques possibles :

La force brute : vous essayez toutes les combinaisons possibles. Ça peut le faire sur un mot de passe court.
Le dictionnaire : vous essayez les mots de passe couramment utilisés, stockés dans un dictionnaire.
Hybride : il s'agit de construire un mot de passe à partir d'un dictionnaire, en combinant avec une partie en force brute. Ça marchera encore mieux si vous avez déjà une idée d'une partie du mot de passe.

La technique hybride peut être très efficace. Par exemple, si vous devinez que l'utilisateur a utilisé un prénom de ses enfants, de son chien, ou une date de naissance, vous pouvez essayer toutes les combinaisons avec un prénom, suivi de 4 lettres aléatoires, suivi de dates avec quelques formats différents. L'idée est que cela réduit considérablement le nombre de tentatives.

Si vous êtes en mal de choisir un mot de passe :

Top 200 des mots de passe les plus courants

Cela suppose que vous ayez accès au fichier ou au site web ciblé. Et que le nombre de tentatives ne soit pas limité dans le temps, par exemple limité à quelques essais par jour (ce qui veut dire que vous n'avez pas accès à l'horloge de contrôle).
Un exemple typique est la carte bancaire ou SIM avec ses 3 essais maximum avant blocage, et heureusement que c'est comme cela car avec moins de 10000 combinaisons possibles, ce serait vite fait de la craquer.

En résumé, si le mot de passe est court ou courant, il sera relativement facile de le craquer avec un dictionnaire de mots de passe et quelques algorithmes appropriés, surtout si vous devinez une partie du mot de passe.

[2024] 6 outils de craquage de mots de passe et comment s’en protéger
Un article automatiquement traduit, intéressant pour les quelques logiciels cités.

J'espère vous avoir flanqué la trouille 😱, et que maintenant, vous allez faire attention à la gestion de vos mots de passe. 😁

Page suivante, les histoires de cookies. Il existe un lien avec les mots de passe d'ailleurs.