Phrases secrètes vs mots de passe — Pourquoi les mots aléatoires battent les caractères complexes

On vous a probablement dit de créer des mots de passe comme P@$$w0rd123 — majuscules, minuscules, chiffres, symboles, tout le nécessaire. Voici la vérité dérangeante : ce mot de passe est terrible. Il suit des schémas de substitution prévisibles que les outils de craquage exploitent en quelques secondes. Pendant ce temps, quelque chose comme bois-quantique-cuillère-vitesse semble simple mais est d'ordres de grandeur plus difficile à craquer.

Voyons pourquoi.

Le problème des mots de passe traditionnels

La plupart des gens, lorsqu'ils sont obligés de créer un mot de passe "complexe", font la même chose :

Commencent par un mot courant : password, monkey, dragon
Mettent la première lettre en majuscule : Password
Remplacent des lettres par des symboles : P@ssword
Ajoutent des chiffres : P@ssword123
Ajoutent un symbole à la fin : P@ssword123!

Les outils de craquage le savent. Chaque dictionnaire majeur de craquage de mots de passe inclut ces règles exactes de substitution. Le caractère @ remplaçant a, 0 remplaçant o, 3 remplaçant e — ce sont parmi les premières transformations testées. Votre mot de passe "complexe" vous a peut-être pris trente secondes à inventer, mais il tombe face à une attaque automatisée en millisecondes.

Le problème fondamental : les humains sont terribles pour être aléatoires. Nous choisissons des mots significatifs, suivons des schémas prévisibles et réutilisons les mêmes astuces. Les règles de complexité des mots de passe essaient de compenser cela, mais créent un faux sentiment de sécurité.

Ce qui rend vraiment un mot de passe fort : l'entropie

La force d'un mot de passe se mesure en entropie — des bits d'aléatoire. Chaque bit double le nombre de possibilités qu'un attaquant doit essayer. La formule est simple :

Entropie = Longueur × log₂(Taille du pool)

Pour un mot de passe aléatoire de 8 caractères utilisant les 95 caractères ASCII imprimables :

8 × log₂(95) = 8 × 6.57 ≈ 52.6 bits

Cela semble correct, mais voici le piège — cela ne s'applique que si chaque caractère est choisi de manière complètement aléatoire. Quand un humain choisit P@ssw0rd, l'entropie réelle est bien inférieure car les choix sont prévisibles.

Pensez-y ainsi : l'entropie mesure combien de tentatives un attaquant a besoin. Si vous choisissez dans un pool d'un million de possibilités, c'est environ 20 bits. Si vous choisissez dans un pool d'un billion de possibilités, c'est environ 40 bits. Chaque 10 bits supplémentaires signifie environ mille fois plus de tentatives nécessaires.

Phrases secrètes : des mots aléatoires comme briques

Une phrase secrète adopte une approche entièrement différente. Au lieu de caractères aléatoires, vous enchaînez des mots aléatoires :

bois quantique cuillère vitesse

Chaque mot est choisi aléatoirement dans une grande liste de mots. Si votre liste contient 2 048 mots, chaque mot contribue 11 bits d'entropie (log₂(2048) = 11). Quatre mots aléatoires donnent :

4 × 11 = 44 bits

Avec une liste plus grande de 7 776 mots (la liste Diceware standard), chaque mot contribue 12,9 bits :

4 × 12,9 = 51,7 bits
6 × 12,9 = 77,5 bits

L'avantage clé : les phrases secrètes sont faciles à retenir et à taper tout en maintenant une entropie élevée. Vous pouvez imaginer du bois, une particule quantique, une cuillère et la vitesse. Cette image mentale reste. Essayez de faire ça avec xK#9mP!2qL.

L'intuition XKCD

La bande dessinée web XKCD a célèbrement illustré ce concept dans la bande #936. L'argument : une phrase secrète de quatre mots comme « correct horse battery staple » a environ 44 bits d'entropie (en supposant une liste de ~2 048 mots) et est trivialement facile à retenir. Un mot de passe "complexe" comme Tr0ub4dor&3 a moins d'entropie malgré qu'il soit plus difficile à taper et à retenir.

La bande dessinée a fait un point important que les chercheurs en sécurité disaient depuis des années : nos règles de complexité des mots de passe optimisent pour la mauvaise chose. Elles rendent les mots de passe difficiles pour les humains et à peine plus difficiles pour les ordinateurs.

Cela dit, l'exemple XKCD a été largement discuté depuis 2011, et certains des chiffres spécifiques ont été débattus. Le principe fondamental reste solide : l'aléatoire et la longueur battent la complexité et l'astuce.

La méthode Diceware

Diceware est le standard de référence pour générer des phrases secrètes. Voici comment ça fonctionne :

Obtenez une liste de mots — La liste Diceware classique contient 7 776 mots, chacun associé à un nombre à cinq chiffres (11111 à 66666)
Lancez cinq dés (ou un dé cinq fois) pour chaque mot
Cherchez le nombre résultant dans la liste de mots
Répétez pour chaque mot nécessaire (minimum quatre, de préférence six)

Par exemple, lancer 4-2-5-3-1 pourrait donner « crayon ». Lancer 1-6-3-4-2 pourrait donner « ancre ». Et ainsi de suite.

Pourquoi des dés physiques ? Parce qu'ils sont une source véritablement aléatoire qui ne nécessite aucune confiance dans un logiciel. Bien sûr, un générateur de nombres aléatoires cryptographiquement sûr (comme l'API Web Crypto utilisée dans notre Générateur de mots de passe) fonctionne tout aussi bien et est bien plus pratique.

La sécurité de Diceware repose sur un simple fait mathématique : un attaquant qui sait que vous avez utilisé Diceware et connaît la liste exacte de mots fait toujours face à 7 776^n possibilités, où n est le nombre de mots. C'est la définition de la sécurité par l'entropie plutôt que par l'obscurité.

Comparaison d'entropie : les chiffres ne mentent pas

Comparons les stratégies courantes de mots de passe face à face :

Stratégie	Exemple	Entropie	Tentatives nécessaires
8 caractères aléatoires (minuscules)	`mqxhplvt`	37,6 bits	~137 milliards
8 caractères aléatoires (tout ASCII)	`kX#9mP!2`	52,6 bits	~6 quadrillions
Phrase de 4 mots (2 048 mots)	`bois-quantique-cuillère-vitesse`	44 bits	~17 trillions
Phrase de 4 mots (7 776 mots)	`fente-came-niche-tourelle`	51,7 bits	~3,7 quadrillions
Phrase de 6 mots (7 776 mots)	`fente-came-niche-tourelle-pas-enclume`	77,5 bits	~2,2 × 10²³
12 caractères aléatoires (tout ASCII)	`Bx!4pQm#9kLz`	78,8 bits	~4,7 × 10²³

La conclusion : une phrase Diceware de six mots est approximativement équivalente en force à un mot de passe entièrement aléatoire de 12 caractères — mais dramatiquement plus facile à retenir et à taper.

À un milliard de tentatives par seconde (une vitesse réaliste d'attaque hors ligne contre un hash rapide), un mot de passe de 52 bits tient environ 52 jours. Une phrase secrète de 77 bits tient environ 7 milliards d'années. C'est la différence entre un désagrément mineur pour un attaquant et la mort thermique de l'univers.

Quand utiliser des mots de passe vs des phrases secrètes

Aucune approche n'est universellement meilleure. Voici quand chacune a du sens :

Utilisez des mots de passe à caractères aléatoires quand :

Un gestionnaire de mots de passe les génère et les stocke — Vous n'avez jamais besoin de les taper ou de les retenir. Utilisez 20+ caractères aléatoires pour une entropie maximale.
Des limites de longueur existent — Certains systèmes anciens plafonnent les mots de passe à 16 ou même 8 caractères. Les caractères aléatoires concentrent plus d'entropie par caractère.
Authentification machine à machine — Les clés API, tokens et secrets doivent être de longues chaînes aléatoires.

Utilisez des phrases secrètes quand :

Vous devez la mémoriser — Le mot de passe maître de votre gestionnaire de mots de passe, la phrase de chiffrement de disque ou le code de déverrouillage d'appareil.
Vous la tapez fréquemment — Les phrases secrètes sont plus rapides à taper que les chaînes de caractères aléatoires, surtout sur mobile.
Vous devez la partager verbalement — Dire « bois quantique cuillère vitesse » au téléphone est bien plus facile qu'épeler xK#9mP!2qL.
Vous voulez une sécurité hors ligne — Le chiffrement de disque et les portefeuilles de cryptomonnaies bénéficient de phrases secrètes à haute entropie.

Le juste milieu pour la plupart : une phrase secrète de six mots comme mot de passe maître de votre gestionnaire, et des mots de passe aléatoires de 20+ caractères pour tout le reste.

Bonnes pratiques pour les phrases secrètes

Toutes les phrases secrètes ne sont pas égales. Suivez ces règles :

1. Utilisez des mots véritablement aléatoires

Les mots doivent être sélectionnés aléatoirement, pas choisis par vous. Dès que vous choisissez des mots qui « ont du sens » ou forment une phrase, vous détruisez le calcul d'entropie. « J'aime mon chien beaucoup » est une phrase, pas une phrase secrète — et c'est trivialement craquable.

2. Minimum quatre mots, de préférence six

Quatre mots d'une liste de 7 776 mots donnent environ 52 bits — adéquat pour les comptes en ligne avec limitation de débit. Six mots donnent environ 78 bits — approprié pour protéger des données chiffrées hors ligne. Pour les cas à haute sécurité, allez à sept ou huit.

3. Optionnel : ajoutez un chiffre ou un symbole

Insérer un chiffre ou symbole aléatoire entre les mots ajoute quelques bits supplémentaires et déjoue toute attaque purement par dictionnaire :

bois-quantique-7-cuillère-vitesse
bois!quantique!cuillère!vitesse

Ce n'est pas strictement nécessaire avec six mots ou plus, mais c'est une amélioration à faible coût.

4. Utilisez un séparateur

Des tirets, espaces ou points entre les mots améliorent la lisibilité sans réduire la sécurité :

bois-quantique-cuillère-vitesse
bois quantique cuillère vitesse
bois.quantique.cuillère.vitesse

Tout séparateur cohérent fonctionne. Choisissez celui que vous trouvez le plus facile à taper.

Erreurs courantes avec les phrases secrètes

Utiliser des paroles de chansons ou des citations

« Être ou ne pas être telle est la question » n'est pas une phrase secrète — c'est une citation célèbre. Les attaquants maintiennent des listes de phrases courantes tirées de la littérature, des chansons, des films et des textes religieux. Toute phrase reconnaissable est une vulnérabilité.

Choisir des mots liés

« pomme banane cerise raisin » utilise des mots aléatoires, mais ce sont tous des fruits. Cette corrélation réduit drastiquement l'entropie effective car un attaquant peut cibler des catégories sémantiques.

Utiliser trop peu de mots

Deux ou trois mots de n'importe quelle liste est insuffisant. Avec une liste de 7 776 mots, trois mots ne donnent que 38,8 bits — craquable par un cluster GPU en quelques heures.

Laisser la saisie automatique aider

Si vous tapez le premier mot et laissez votre téléphone suggérer les suivants, vous générez du texte avec la prévisibilité d'un modèle de langage, pas l'aléatoire des dés. Utilisez toujours un générateur aléatoire approprié.

Comment notre outil aide

Notre Générateur de mots de passe inclut un mode dédié aux phrases secrètes basé sur une liste curatée de 2 048 mots. Chaque mot est sélectionné avec l'API Web Crypto — le même générateur de nombres aléatoires cryptographiques utilisé par les professionnels de la sécurité. Vous pouvez configurer le nombre de mots, le caractère séparateur et s'il faut inclure des chiffres ou capitaliser des mots.

Toute la génération se fait entièrement dans votre navigateur. Aucun mot n'est envoyé à un serveur, aucune phrase secrète n'est enregistrée et l'outil fonctionne hors ligne après le chargement. C'est crucial pour générer des mots de passe maîtres et des phrases de chiffrement — vous ne devriez jamais confier votre secret le plus important à un serveur.

Questions fréquemment posées

Les phrases secrètes sont-elles sûres si quelqu'un sait que j'utilise la méthode Diceware ?

Oui. La sécurité de Diceware dépend de l'entropie, pas du secret de la méthode. Même si un attaquant connaît votre liste exacte de mots et le nombre de mots, il fait toujours face à 7 776^n combinaisons possibles. Avec six mots, c'est plus de 2,2 × 10²³ possibilités.

Les ordinateurs quantiques peuvent-ils casser les phrases secrètes ?

L'algorithme de Grover réduit théoriquement de moitié la force en bits (77 bits deviennent ~39 bits effectifs). Cela signifie qu'une phrase de six mots devrait devenir une phrase de douze mots pour la résistance quantique. Mais les ordinateurs quantiques pratiques à grande échelle capables de cela ne sont pas encore disponibles. Utiliser huit mots aujourd'hui fournit une marge de sécurité raisonnable.

Dois-je faire tourner mes phrases secrètes ?

Seulement si vous soupçonnez une compromission. Les directives du NIST (SP 800-63B) recommandent explicitement contre la rotation périodique forcée des mots de passe, car elle conduit à des mots de passe plus faibles au fil du temps. Changez votre phrase secrète si un service est compromis ou si vous l'avez partagée avec quelqu'un.

Quelle taille de liste de mots dois-je utiliser ?

Plus grande est mieux, mais avec des rendements décroissants. La liste Diceware standard (7 776 mots) est bien testée et largement recommandée. Notre outil utilise une liste de 2 048 mots optimisée pour la mémorabilité — chaque mot est courant, distinct et facile à épeler. Avec 2 048 mots, vous avez besoin d'environ un mot supplémentaire pour égaler l'entropie de la liste de 7 776 mots.

Ressources associées

Générer des mots de passe forts — guide complet de sécurité des mots de passe
L'entropie des mots de passe expliquée — les mathématiques derrière la force des mots de passe
Guide d'authentification à deux facteurs — ajoutez une deuxième couche de protection
Générateur de mots de passe — générez des mots de passe et des phrases secrètes dans votre navigateur

🛠️ Générez une phrase secrète maintenant : Générateur de mots de passe — 100% gratuit, traite tout dans votre navigateur. Aucune donnée envoyée. Essayez le mode phrase secrète avec notre liste curatée de 2 048 mots.