Pourquoi un mot de passe fort ici ne l’est pas ailleurs
On tape son mot de passe préféré. Sur un site, il est refusé : pas assez long, pas de symbole. Sur un autre, il passe sans souci. L’impression de jouer à la loterie, sans connaître les règles.
Créer un compte en ligne n’a rien d’exceptionnel. Mais l’étape du mot de passe révèle souvent une règle invisible : aucun site ne demande exactement la même chose. Ce qui est accepté ici sera rejeté là, parfois sans explication. On finit par bricoler une variante à la volée, ou à réutiliser le même mot de passe, même si on sait que ce n’est pas idéal.
Ce sentiment d’arbitraire vient d’une réalité peu visible : il n’existe pas de recette universelle pour juger la solidité d’un mot de passe. Derrière l’écran, chaque service applique ses propres critères, hérités de son histoire, de ses peurs, ou des contraintes locales. L’impression de confusion n’est donc pas un défaut du système, c’est sa conséquence directe.
Lucidaily publie 3 sujets comme celui-ci chaque matin.
Créer un compteDes recettes différentes partout
Chaque site décide de ses critères : longueur, mélange de lettres, chiffres, symboles, ou refus de certains mots. Ces choix s’appuient sur des listes d’attaques connues, des recommandations officielles ou des habitudes logicielles. Par exemple, un service bancaire imposera 12 caractères avec un symbole, tandis qu’un forum pourra accepter six lettres simples.
Ce patchwork s’explique par la diversité des menaces et des contextes. Un site très ciblé par les pirates durcit ses règles, là où un autre privilégie la simplicité pour ne pas perdre d’utilisateurs.
Approfondir
Le NIST, une agence américaine, propose depuis 2017 de privilégier la longueur et de bannir l’obligation des caractères spéciaux, jugée inutile. Pourtant, beaucoup de sites gardent ces anciennes règles, parfois par manque de mise à jour ou par crainte de changer les habitudes des utilisateurs (NIST, Digital Identity Guidelines SP 800-63B).
Un mythe de la solidité universelle
On croit souvent qu’un mot de passe est jugé fort ou faible selon une règle partagée partout. En réalité, chaque plateforme applique sa propre recette, parfois même à rebours des recommandations récentes. C’est ce qui explique que le même mot de passe soit considéré comme 'trop faible' ici et 'parfait' ailleurs.
Des contextes, des usages, des compromis
L’ANSSI, l’agence française de cybersécurité, adapte ses consignes selon les usages : la tolérance n’est pas la même pour un accès à des données sensibles que pour un compte de loisir. Certaines plateformes, soucieuses d’ergonomie, assouplissent leurs règles pour ne pas décourager les inscriptions. D’autres, après des fuites de données, imposent des critères sévères.
Angela Sasse (University College London) a montré que des règles trop strictes poussent paradoxalement à des comportements risqués : notes sur papier, réutilisation des mêmes mots de passe, ou variantes faciles à deviner.
Approfondir
Dans certains cas, la sécurité attendue dépend du contexte culturel ou réglementaire. Les banques françaises suivent la recommandation de l’ANSSI (Guide 2022), mais un service international peut se caler sur le NIST ou sur ses propres statistiques d’attaques.
Recommandations officielles vs pratiques réelles
Depuis 2017, le NIST recommande de ne plus obliger les caractères spéciaux, mais de privilégier la longueur et l’exclusion des mots courants. Pourtant, de nombreux sites n’ont pas suivi ce virage, préférant la stabilité ou la conformité à d’anciennes normes. Certains experts estiment que ce retard expose à des comportements à risque, d’autres rappellent que chaque application doit adapter ses exigences à sa réalité de terrain.
La robustesse d’un mot de passe dépend d’une recette locale, pas d’une règle universelle. D’où l’impression de contradictions entre sites.