Entropie des mots de passe : Les secrets pour des accès ultra-protégés

Les mots de passe sont depuis longtemps une cible privilégiée des cybercriminels. Or face à la montée en puissance des attaques, leur entropie – ou manque d’imprévisibilité – devient un véritable facteur de vulnérabilité. Des mots de passe faibles laissent en effet la voie libre aux cyberattaques, rendant l'intrusion presque inévitable. Découvrez tout ce qu’il faut savoir sur l’entropie des mots de passe, son impact direct sur la sécurité des systèmes et les stratégies concrètes pour créer des secrets particulièrement robustes.

Comprendre l'entropie d'un mot de passe

Qu'est-ce que l'entropie ? Définition et applications

L'entropie est un concept issu de la théorie de l'information développé en 1948 par Claude Shannon, mathématicien et ingénieur américain¹. Elle mesure le degré d'imprévisibilité ou de désordre dans un système. Lorsqu'il s'agit de sécurité informatique et plus particulièrement des mots de passe, l'entropie permet d'évaluer leur résistance face aux tentatives de piratages.

Pour un mot de passe, une entropie élevée se traduit par un nombre important de combinaisons possibles, rendant sa compromission plus complexe. Cette mesure est exprimée en bits : chaque bit supplémentaire double le nombre de combinaisons possibles. 

Par exemple, un mot de passe composé de 12 caractères aléatoires, incluant majuscules, minuscules, chiffres et symboles, possède une entropie bien plus élevée qu'un mot de passe simple comme "Bonjour01".

En France, la CNIL et l’ANSSI préconisent d'utiliser des mots de passe présentant une entropie élevée², c'est-à-dire une complexité accrue. Plutôt que de se concentrer sur une longueur minimale comme cela a longtemps été le cas, ces recommandations privilégient depuis 2017 l'augmentation de la complexité du mot de passe. 

Quels facteurs influencent l'entropie des mots de passe ? 

Trois facteurs principaux déterminent l'entropie d'un mot de passe :

1. La longueur du mot de passe : plus un mot de passe est long, plus il devient complexe à deviner. Chaque caractère ajouté augmente de manière exponentielle le nombre de combinaisons possibles.
   
   
2. La diversité des caractères utilisés : l'utilisation d'un mélange de majuscules, minuscules, chiffres et symboles élargit l'alphabet de référence, augmentant ainsi l'entropie. Par exemple, un mot de passe composé uniquement de lettres minuscules possède une entropie plus faible qu'un mot de passe intégrant des caractères spéciaux et des chiffres.
   
   
3. L'absence de répétitions ou de motifs prévisibles : les mots de passe simples comme "aaaa1111" ou "1234abcd" sont facilement devinables, car leur structure suit un schéma logique ou répétitif, ce qui réduit considérablement leur entropie. Il en va de même pour les secrets utilisant des mots ou expressions présents dans le dictionnaire en toutes lettres, par exemple.

Calculer l'entropie d'un mot de passe

Comment mesure-t-on l'entropie d'un mot de passe ?

L’entropie d’un mot de passe peut être calculée grâce à une formule théorique basée sur deux paramètres : la longueur du mot de passe (L) et la taille de l’alphabet utilisé (N). log₂(N) représente le logarithme en base 2 de la taille de l’alphabet, c'est-à-dire le nombre de symboles distincts parmi lesquels chaque caractère peut être choisi. La formule est la suivante :

Entropie (en bits) = L × log₂(N)

Par exemple, un mot de passe de 10 caractères utilisant 26 lettres minuscules, 26 majuscules, 10 chiffres et 10 symboles (soit un alphabet de 72 caractères) a une entropie de : 10 × log₂(72) ≈ 62 bits.

Outre les calculs manuels, des outils en ligne permettent d’évaluer rapidement l’entropie d’un mot de passe. Ces outils, comme les générateurs de mots de passe ou les testeurs d’entropie, sont des solutions efficaces pour s’assurer de la robustesse des secrets.

L'entropie pour renforcer la sécurité des mots de passe

Comment l'entropie protège-t-elle contre les cyberattaques ?

Une entropie élevée agit comme un rempart face à plusieurs types de cyberattaques, en augmentant de manière significative la difficulté pour un hacker de deviner ou de compromettre un mot de passe.

• Les attaques par force brute consistent à tester toutes les combinaisons possibles jusqu’à trouver le mot de passe correct. L’efficacité d’une telle méthode dépend avant tout du temps nécessaire pour parcourir toutes les combinaisons. Avec une entropie élevée, le nombre de combinaisons augmente de façon significative, rendant cette approche extrêmement coûteuse en temps et en ressources. Par exemple, un mot de passe composé de 12 caractères incluant majuscules, minuscules, chiffres et symboles peut générer des milliards de combinaisons, nécessitant plusieurs années pour être déchiffré, même avec un matériel sophistiqué.
  
  
• Les attaques par dictionnaire s’appuient sur des bases de données contenant des mots courants ou des mots de passe déjà compromis. Les cyberattaquants testent ces options pour trouver une correspondance. Un mot de passe doté d’une forte entropie, combinant longueur, diversité et caractère aléatoire, échappe efficacement à ce type d’attaque. Par exemple, un secret comme "Bienvenue2023" est considéré comme vulnérable, car il suit une structure prévisible et est composé d’un mot que l’on peut trouver dans le dictionnaire. À l’inverse, "L3!vhdg$uP9dec*5" est bien plus résistant.
  
  

À noter : un mot de passe est considéré comme fort lorsque son entropie dépasse les 75 bits. Les secrets de moins de 72 bits sont considérés comme relativement faciles à compromettre par une machine.

L'impact de l'entropie sur le temps de compromission

Comme évoqué rapidement dans le contexte des attaques par force brute, la différence entre un mot de passe faible et un mot de passe robuste peut être illustrée par le temps requis pour le compromettre. Plus un mot de passe est complexe, plus l'entropie est élevée, et plus il devient difficile à craquer. Pour mieux comprendre cette différence, prenons deux exemples concrets de mots de passe :

• Exemple 1 : "password" : ce mot de passe de 8 caractères, composé uniquement de lettres minuscules, présente une entropie d’environ 37 bits. Avec les outils actuels, il peut être compromis en quelques secondes par une attaque par force brute, où chaque combinaison possible est testée jusqu’à ce que le bon mot de passe soit trouvé.
  
  
• Exemple 2 : "G7#jL9h21Zq!" : ce mot de passe de 12 caractères, qui combine des lettres majuscules, des chiffres et des symboles, possède une entropie d’environ 80 bits. Même les ordinateurs les plus puissants auraient besoin de plusieurs années pour deviner ce mot de passe par une attaque par brute force.
  
  

En choisissant des mots de passe avec une entropie élevée, on augmente donc considérablement le temps nécessaire à un attaquant pour compromettre un compte. Cette nuance est décisive pour comprendre pourquoi des mots de passe complexes offrent véritablement une meilleure protection contre les cyberattaques.

Maximiser l'entropie de vos mots de passe : stratégies pour une connexion plus sécurisée

1. Créer des mots de passe robustes

Les phrases de passe constituent une méthode particulièrement efficace pour créer des mots de passe à la fois complexes et facilement mémorables. L’idée est de choisir une phrase longue, qui inclut des éléments variés comme des chiffres, des lettres majuscules et minuscules, ainsi que des symboles.

Par exemple, "Les3chiensJ0u€nt!" est relativement facile à retenir en raison de sa structure logique, mais il présente également une entropie assez élevée grâce à la combinaison de divers types de caractères. Plus la phrase est longue et variée, plus l'entropie augmente. 

Cette méthode n’est cependant pas la meilleure pour créer des mots de passe robustes et quasiment indéchiffrables. Utiliser des générateurs aléatoires pour créer de grandes chaînes de caractères complexes vous permettra d’obtenir une excellente entropie.

L’ANSSI préconise également des mots de passe de plus de 12 caractères (voire 16 caractères pour  les comptes plus sensibles) afin d’obtenir une entropie suffisante. 

Pour les mémoriser et les générer facilement des outils simples et recommandés par l’ANSSI existent.

2. Utiliser des outils dédiés pour renforcer la sécurité des mots de passe

Certains outils sont indispensables pour renforcer la sécurité des mots de passe. L’utilisation d’un gestionnaire de mots de passe comme LockPass permet d’amener la sécurité des mots de passe en entreprise à un niveau supérieur. LockPass génère des secrets aléatoires à entropie élevée, complexes et uniques pour chaque service, ce qui élimine les risques associés à l’utilisation de mots de passe faibles ou réutilisés.
Un outil recommandé par l’ANSSI et qui fait aussi office de coffre-fort numérique sécurisé pour stocker vos accès de façon chiffrée ainsi que vos documents.

En parallèle, activer l’authentification multifacteurs sur les accès sensibles renforce considérablement la sécurité des comptes. Même si un mot de passe est compromis, le cyberattaquant ne pourra pas accéder au service sans le second facteur d’authentification, indispensable pour s’authentifier. Ce deuxième facteur, qui peut être un code à usage unique envoyé sur un objet de confiance (par exemple un téléphone) ou une clef physique, rend l’accès beaucoup plus difficile pour le hacker même s'il possède déjà le mot de passe. 

3. Mettre en place des politiques de mots de passe

Si l’entropie des mots de passe est un indicateur de taille pour mesurer leur robustesse face aux cyberattaques, une politique de sécurité des mots de passe bien définie reste indispensable pour assurer une gestion des accès sécurisée en entreprise. Cette dernière doit être clairement formalisée, accessible à tous, et établir des règles strictes sur la création, le stockage et le partage des mots de passe.

Par exemple, et plutôt que d’imposer des changements fréquents comme cela était recommandé auparavant, l’ANSSI préconise aujourd’hui d’établir des règles précises sur la longueur et la complexité des mots de passe, en interdisant l’utilisation de schémas trop prévisibles³.

L’interdiction de l’enregistrement automatique des mots de passe dans les navigateurs doit également être formalisée, afin de limiter les risques en cas de compromission d’un terminal. Par ailleurs, la sensibilisation des collaborateurs à la sécurité des mots de passe est déterminante pour garantir l’adoption de cette politique : des formations régulières permettent de rappeler les bonnes pratiques cyber et d’expliquer les menaces liées aux mots de passe faibles. En complément, des simulations de cyberattaque permettent de renforcer la vigilance des collaborateurs sur les principales menaces liées à l’authentification, comme l’ingénierie sociale et plus particulièrement le phishing.

Ici encore, l’adoption d’un gestionnaire de mots de passe comme LockPass simplifie l’application de ces politiques de mots de passe, en facilitant la création et l’utilisation de secrets à haute entropie, sans alourdir la gestion des accès pour les collaborateurs.

Vos politiques de mots de passe peuvent être ajoutées dans l’outil afin d’imposer aux utilisateurs concernés de les utiliser.

Vous l’aurez compris, l'entropie des mots de passe est un facteur déterminant dans la protection des données sensibles face aux cyberattaques. En combinant longueur, diversité des caractères et absence de motifs prévisibles, il est possible de créer des secrets beaucoup plus difficiles à compromettre. Les bonnes pratiques à appliquer en entreprise, comme l'utilisation d’un gestionnaire de mots de passe certifié par l’ANSSI et l'activation de l'authentification multifacteurs, permettent d'améliorer encore la sécurité des mots de passe, et plus largement, la sécurité des accès !

Sources : 

1. https://culturemath.ens.fr/thematiques/probabilites/qu-est-ce-que-la-theorie-de-l-information

2 https://www.cnil.fr/fr/mots-de-passe-une-nouvelle-recommandation-pour-maitriser-sa-securite

3 https://www.cnil.fr/sites/cnil/files/atoms/files/deliberation-2022-100-du-21-juillet-2022_recommandation-aux-mots-de-passe.pdf