Pour les entreprises Pour les particuliers
Savoir-faire / Sécurité des mots de passe

Mots de passe identiques : les risques de la réutilisation des mots de passe

Un login piraté – tous les accès sont en danger.

Les administrateurs IT portent la responsabilité principale de la protection des systèmes et des données. Un risque particulièrement persistant réside dans les mots de passe identiques ou réutilisés. Les utilisateurs ouvrent ainsi – souvent sans le vouloir – grand la porte aux attaquants pour le credential stuffing, les prises de contrôle de comptes et les mouvements latéraux dans le réseau. Des études montrent que l’utilisation d’identifiants volés compte parmi les vecteurs initiaux les plus fréquents lors d’incidents de sécurité (voir les sources ci-dessous).

  • N’utilisez jamais le même mot de passe pour différents comptes.
  • Aucun changement de mot de passe régulier imposé sans raison – privilégiez plutôt des mots de passe/phrases de passe longs et uniques ainsi que la MFA/les passkeys.
  • Nouveaux mots de passe et mots de passe existants vérifier par rapport à des listes compromises ; dans Password Depot : Extras → Contrôle de sécurité → Vérifier dans les mots de passe Pwned.

Risque de compromission croisée

Lorsqu’un compte est compromis, les attaquants testent automatiquement les mêmes identifiants sur d’autres services (Credential‑Stuffing). Une seule fuite peut ainsi déclencher une réaction en chaîne – de l’e‑mail aux services Cloud en passant par les outils de collaboration. Résultat : vol de données, usurpation d’identité et accès non autorisés aux ressources de l’entreprise.

Sont particulièrement critiques « Basic Web Application Attacks », où les identifiants volés ou réutilisés dominent – un signe clair que la réutilisation des mots de passe est directement exploitable en pratique (voir sources).

Ransomware et prise de contrôle de comptes

Une fois en possession d’identifiants valides, les attaquants peuvent étendre leurs privilèges, se déplacer latéralement dans le réseau et déployer des logiciels malveillants – jusqu’au déploiement d’un ransomware. Les recommandations officielles soulignent donc : éliminer la réutilisation des mots de passe et activer une MFA résistante au phishing (p. ex. FIDO2/passkeys) là où cela est techniquement possible (CISA, NIST).

Mesures pour améliorer la sécurité des mots de passe

Directives (Policy)

  • Aucun changement de mot de passe préventif et régulier – à imposer uniquement en cas de soupçon ou de preuve de compromission (NIST, NCSC).
  • Un mot de passe par compte/service – interdire strictement toute réutilisation (NIST, NCSC).
  • Augmenter la longueur minimale (p. ex. ≥ 14 caractères) et éviter les exigences de complexité inutiles ; privilégier plutôt la longueur, l’unicité et le blocage des « mots de passe courants » (NIST).
  • Vérifier les mots de passe par rapport à des listes compromises (NIST SP 800–63B) – voir la note pratique sur Password Depot ci-dessous.
  • MFA obligatoire, de préférence résistante au phishing (FIDO2/Passkeys), au moins pour les accès administrateur, à distance et Cloud (CISA).

Contrôles techniques

  • Rate limiting & monitoring à activer lors des connexions ; détecter et bloquer les schémas suspects (p. ex. de nombreuses tentatives de connexion depuis des réseaux distribués) (NIST).
  • Autoriser le « coller »/l’insertion, afin que les gestionnaires de mots de passe puissent être utilisés en toute sécurité – ne pas interdire le copier-coller dans le champ de mot de passe (NIST).
  • Défis MFA basés sur le risque et l’enregistrement MFA à imposer systématiquement (CISA).
  • Passkeys à introduire là où c’est possible ; remplacer progressivement la saisie des mots de passe.
  • Identifier les mots de passe compromis : dans Password Depot via Extras → Contrôle de sécurité → Vérifier les mots de passe Pwned et modifier immédiatement les entrées concernées.

En pratique avec Password Depot :

  • Ouvrez Extras → Contrôle de sécurité → Vérifier dans les mots de passe compromis, pour vérifier les mots de passe enregistrés par rapport à des listes compromises.
  • Effectuez cette vérification régulièrement – en particulier après des fuites de données publiques ou des incidents de phishing.
  • Remplacez immédiatement les mots de passe signalés par de longues phrases de passe uniques et activez, lorsque c’est possible, MFA/Passkeys.

Sensibilisation & exploitation

  • Former régulièrement les utilisateurs à Credential‑Stuffing, au phishing et à la réutilisation des mots de passe (NCSC/CISA).
  • gestionnaires de mots de passe recommander et mettre à disposition ; objectif : des mots de passe longs, aléatoires et uniques pour chaque service.
  • Définir les incidents (fuites, phishing, infection par malware) comme déclencheurs d’un changement immédiat de mot de passe et du renouvellement des jetons (NIST/CISA).

En clair : la réutilisation est le véritable ennemi. Les changements imposés et réguliers sans motif dégradent la qualité des mots de passe – sans résoudre le problème. Misez sur la longueur, l’unicité, MFA/Passkeys et la vérification par rapport à des listes compromises (p. ex. directement dans Password Depot).

Conclusion : La réutilisation des mots de passe constitue un risque de sécurité majeur et favorise les prises de contrôle de comptes, pouvant aller jusqu’à des incidents de ransomware. Les équipes d’administration doivent mettre en œuvre des politiques claires et à jour, et les sécuriser sur le plan technique – y compris la vérification régulière des mots de passe compromis avec Password Depot – afin de protéger durablement les identités et les systèmes.

Sources (sélection)

Conserver des mots de passe uniques

Découvrez comment Password Depot vous aide à gérer chaque mot de passe de manière unique et sécurisée.

Conseils pour des mots de passe sécurisés