Formation Sécurité des mots de passe
et authentification moderne

 

Objectif : permettre à un utilisateur débutant ou averti de comprendre les risques, créer des mots de passe robustes, utiliser un gestionnaire, sécuriser Windows, Android et iPhone, activer la 2FA, adopter les passkeys et reconnaître les tentatives de phishing.

Public : particuliers, aidants numériques, associations, formateurs, petites structures et toute personne souhaitant renforcer la sécurité de ses comptes numériques.

Module 1 : Pourquoi la sécurité des mots de passe est essentielle

Un mot de passe est souvent la première barrière entre vos données personnelles et un attaquant. Lorsqu’il est faible, réutilisé ou déjà présent dans une fuite de données, il peut permettre l’accès à votre messagerie, vos comptes bancaires, vos réseaux sociaux, vos services administratifs ou vos boutiques d’applications.

Objectif pédagogique

Comprendre pourquoi un compte compromis peut entraîner une réaction en chaîne sur les autres services.

Mise en situation

Un pirate accède à une messagerie, réinitialise les mots de passe associés, puis tente d’usurper l’identité de la personne.

Compétence visée

Identifier les comptes prioritaires à protéger : messagerie, banque, cloud, administration et gestionnaire de mots de passe.

À retenir : votre messagerie principale est le compte prioritaire à protéger, car elle sert souvent à réinitialiser les autres comptes.

 

Module 2 : Créer un mot de passe robuste en 2026

Un mot de passe robuste est long, unique, non réutilisé, difficile à deviner et absent des listes de mots de passe compromis. Les recommandations modernes privilégient la longueur, les phrases de passe et la vérification contre les mots de passe connus comme compromis, plutôt que les règles artificielles du type majuscule, chiffre et symbole obligatoires.

Méthode recommandée : privilégier la longueur, l’unicité et l’absence de réutilisation. Une phrase de passe ou un mot de passe généré automatiquement est généralement plus fiable qu’un mot court complexifié artificiellement.
  • Méthode 1 : utiliser un mot de passe aléatoire généré par un gestionnaire, idéalement long et unique pour chaque service.
  • Méthode 2 : créer une phrase de passe longue composée de plusieurs mots choisis au hasard, sans lien personnel évident.
  • Bon réflexe : vérifier si le mot de passe est signalé comme compromis par le gestionnaire ou par un service fiable de vérification.
  • À éviter : nom d’un proche, date de naissance, animal, suite clavier, mot du dictionnaire seul ou variante prévisible.
Fiche pas à pas : choisissez un compte de test, générez un mot de passe long avec votre gestionnaire, enregistrez-le, déconnectez-vous puis reconnectez-vous pour vérifier que le remplissage automatique fonctionne.

Module 3 : Utiliser un gestionnaire de mots de passe

Le gestionnaire de mots de passe est l’outil central de la sécurité quotidienne. Il permet de générer des mots de passe uniques, de les stocker dans un coffre-fort chiffré, de les remplir automatiquement et de détecter certains mots de passe faibles, réutilisés ou compromis.

À retenir : le gestionnaire ne sert pas seulement à stocker les mots de passe ; il aide aussi à générer des mots de passe uniques, à éviter la réutilisation et à repérer les identifiants faibles ou exposés.
1. Choisissez une phrase de passe maître longue, mémorisable et jamais réutilisée.
2. Activez le verrouillage automatique du gestionnaire sur ordinateur et mobile.
3. Activez la double authentification du compte du gestionnaire.
4. Importez progressivement les mots de passe existants, puis remplacez les doublons.
5. Créez une routine mensuelle : vérifier les alertes, supprimer les anciens comptes et mettre à jour les accès critiques.

Module 4 : Sécuriser Windows et Windows Hello

Windows Hello permet de se connecter à un PC avec un code PIN local, une empreinte digitale ou la reconnaissance faciale lorsque le matériel le permet. Le code PIN Windows Hello est associé à l’appareil et diffère du mot de passe du compte Microsoft.

Point pédagogique : Windows Hello renforce l’accès local à l’appareil. Le code PIN, l’empreinte ou le visage ne remplacent pas toujours toutes les protectles ions du compte en ligne : il faut aussi vérifier les options de récupération et la 2FA du compte Microsoft.
1. Ouvrez les Paramètres Windows.
2. Allez dans Comptes puis Options de connexion.
3. Configurez le code PIN Windows Hello.
4. Ajoutez l’empreinte ou la reconnaissance faciale si disponible.
5. Vérifiez les méthodes de récupération du compte Microsoft.
Conseil : ne confondez pas le code PIN Windows et le mot de passe Microsoft. Le PIN protège l’accès local au PC ; le mot de passe Microsoft protège le compte en ligne et les services associés.

Module 5 : Sécuriser Android et Google Play

Pour télécharger des applications depuis Google Play, le compte Google doit être protégé. Activez le verrouillage de l’écran, Google Play Protect, la validation en deux étapes, le gestionnaire de mots de passe Google et les passkeys lorsque le service les propose.

Objectif pratique : apprendre à protéger le compte Google, car il donne accès aux applications, aux sauvegardes, aux contacts, aux photos, aux achats et aux services associés à Android.
1. Activez un code, schéma, empreinte ou reconnaissance faciale sur Android.
2. Vérifiez que Google Play Protect est activé..
3. Utilisez un mot de passe unique pour le compte Google.
4. Activez la validation en deux étapes.
5. Créez une passkey lorsque Google ou une application compatible la propose

Module 6 : Sécuriser iPhone et Apple Store

Sur iPhone, la sécurité repose sur le code de l’appareil, Face ID ou Touch ID, l’identification à deux facteurs du compte Apple, l’app Mots de passe et le trousseau iCloud qui synchronise mots de passe, passkeys et codes de validation entre appareils approuvés.

Point d’attention : le code de l’iPhone protège aussi l’accès aux mots de passe enregistrés. Il doit donc être suffisamment robuste et connu uniquement de l’utilisateur.

 

1. Ouvrez Réglages sur l’iPhone.
2. Touchez votre nom puis Connexion et sécurité.
3. Vérifiez l’identification à deux facteurs.
4. Ouvrez l’app Mots de passe pour repérer les mots de passe faibles ou réutilisés.
5. Activez le trousseau iCloud si vous utilisez plusieurs appareils Apple.

Module 7 : 2FA, MFA et sites institutionnels

La double authentification ajoute une preuve supplémentaire après le mot de passe. Elle peut prendre la forme d’un code temporaire, d’une notification, d’une application d’authentification, d’une clé physique ou d’une passkey. Les sites institutionnels et bancaires l’utilisent pour limiter les risques de fraude.

À retenir : plus le compte est sensible, plus la méthode doit être résistante au phishing : application d’authentification, clé de sécurité ou passkey sont préférables au SMS lorsque le choix existe.
  • À privilégier : application d’authentification, clé physique ou passkey.
  • Acceptable : notification sur appareil de confiance.
  • À éviter si possible : SMS seul, plus exposé aux détournements et à l’ingénierie sociale.
Exercice pratique : activez la 2FA sur un compte non critique, testez la connexion depuis un autre navigateur, puis notez la méthode de récupération utilisée.

Module 8 : Passkeys, FIDO2 et avenir de l’authentification

 

Une passkey remplace la saisie d’un mot de passe par une preuve cryptographique liée au site ou à l’application. La clé privée reste protégée sur l’appareil ou dans un gestionnaire synchronisé ; la clé publique est enregistrée par le service. FIDO2 (Fast Identity Online 2) et WebAuthn permettent cette authentification forte et résistante au phishing.

Ce que l’utilisateur voit

Une connexion avec visage, empreinte, code de l’appareil ou clé de sécurité, sans saisir de mot de passe.

Ce qui se passe en sécurité

Le service vérifie une preuve cryptographique ; la clé privée ne quitte pas l’appareil ou le gestionnaire compatible.

Fiche pas à pas : lorsqu’un site propose de créer une passkey, vérifiez le nom du site, choisissez l’emplacement d’enregistrement, validez avec visage, empreinte ou code, puis testez une reconnexion.

Module 9 : Phishing, smishing et arnaques observées en 2026

Les tentatives d’hameçonnage imitent des services connus : livraison de colis, contravention, remboursement d’impôt, banque, support technique ou administration. Les SMS, e-mails, QR codes et appels frauduleux cherchent à voler un mot de passe, un code 2FA ou des données bancaires.

Objectif: apprendre à repérer les signaux d’alerte : urgence, menace, faute d’adresse, lien raccourci, pièce jointe inattendue, demande de code ou de coordonnées bancaires.
  • SMS de livraison demandant une petite somme pour reprogrammer un colis.
  • Fausse amende ANTAI ou Amendes.gouv.fr avec menace de majoration.
  • Faux remboursement d’impôt demandant une validation bancaire.
  • Faux conseiller bancaire demandant de confirmer ou annuler une opération.
Réflexe anti-phishing : ne cliquez pas depuis le message. Saisissez vous-même l’adresse officielle, vérifiez le domaine, refusez l’urgence et ne communiquez jamais un code de validation.

Module 10 : Vérifier régulièrement ses comptes

La sécurité d’un compte n’est pas une action ponctuelle. Elle doit être vérifiée régulièrement, surtout après un changement d’appareil, un message suspect, une fuite de données ou une alerte du gestionnaire de mots de passe.

1. Contrôlez les appareils connectés et les sessions actives.
2. Supprimez les appareils inconnus, anciens ou inutilisés.
3. Vérifiez les adresses e-mail, numéros de téléphone et méthodes de récupération.
4. Changez immédiatement un mot de passe signalé comme compromis et remplacez-le par un mot de passe unique.
5. Renforcez la 2FA après toute alerte, tentative de connexion inconnue ou changement de téléphone.
6. Planifiez une vérification trimestrielle des comptes importants : messagerie, banque, cloud, administration, réseaux sociaux.

Module 11 : Les 10 bonnes pratiques à retenir

Ce module sert de synthèse finale. Il peut être utilisé comme mémo à distribuer aux participants ou comme support de quiz de fin de formation.

1. Utiliser des mots de passe longs, uniques et non réutilisés.

2. Utiliser un gestionnaire de mots de passe et protéger son accès par une phrase de passe forte.

3. Activer la 2FA sur les comptes importants, en privilégiant les méthodes résistantes au phishing.

4. Préférer les passkeys lorsqu’elles sont proposées par le service.

5. Protéger la messagerie principale en priorité, car elle sert souvent à récupérer les autres comptes..

6. Vérifier régulièrement les appareils connectés et les sessions actives.

7. Conserver des méthodes de récupération fiables, à jour et sécurisées.

8. Ne jamais communiquer un code de validation, même à une personne se présentant comme un conseiller ou un support technique.

9. Mettre à jour les systèmes, navigateurs, applications et gestionnaires de mots de passe.

10. Se méfier des messages urgents, liens courts, QR codes inconnus et demandes inhabituelles

Tableau comparatif des solutions

Solution Sécurité Simplicité Usage recommandé
Phrase de passe longue Bonne Bonne Mot de passe maître ou compte à mémoriser
Gestionnaire de mots de passe Très bonne Bonne Tous les comptes
2FA par application Très bonne Moyenne Messagerie, banque, cloud
2FA par SMS Moyenne Très simple Dépannage uniquement si aucune autre option
Clé de sécurité physique Excellente Moyenne Comptes critiques
Passkey Excellente Très bonne Services compatibles Microsoft, Google, Apple
Windows Hello / Face ID / Touch ID Très bonne Très bonne Déverrouillage local des appareils

Sources et références utiles :

Source Sujet traité Liens de référence
Microsoft Support Windows Hello, options de connexion et création de clés d’accès. ·        Windows Hello : https://support.microsoft.com/fr-FR/Windows/Security/Identity-Signin/configure-windows-hello

·        Créer une clé d’accès : https://support.microsoft.com/fr-FR/Windows/Security/Identity-Signin/create-and-save-a-passkey

·        Comprendre les passkeys : https://support.microsoft.com/fr-FR/Windows/Security/Identity-Signin/what-are-passkeys-and-why-they-matter

Google Support Gestionnaire de mots de passe Google, passkeys Android, Google Play Protect et validation en deux étapes. ·        Validation en deux étapes : https://support.google.com/accounts/answer/185839?hl=fr-FR&co=GENIE.Platform%3DAndroid

·        Gestion et récupération du compte : https://support.google.com/accounts/answer/185834?hl=fr

Apple Support Identification à deux facteurs, app Mots de passe, passkeys et trousseau iCloud. ·        Identification à deux facteurs : https://support.apple.com/fr-fr/102660

·        Sécurité personnelle et mots de passe : https://support.apple.com/fr-fr/guide/personal-safety/ips4c2e19775/web

Cybermalveillance.gouv.fr Phishing, smishing, faux SMS, faux remboursements d’impôt et faux conseillers bancaires. ·        Smishing / hameçonnage par SMS : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/smishing-hameconnage-sms

·        Hameçonnage / phishing : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/hameconnage-phishing-ra26

NIST SP 800-63B / 800-63-4 Recommandations sur l’authentification, la longueur des mots de passe et l’authentification forte. ·        SP 800-63B : https://pages.nist.gov/800-63-3/sp800-63b.html

·        SP 800-63-4 : https://pages.nist.gov/800-63-4/sp800-63b.html

 Note de mise à jour : les recommandations de sécurité évoluent. Vérifiez régulièrement les pages d’aide officielles de Microsoft, Google, Apple, Cybermalveillance.gouv.fr et les publications du NIST avant une diffusion publique ou une formation.

 

 

Le PDF de la  page ”Sécurité des mots de passe et authentification moderne ” (complet)  :
( impression )

 

Loading Viewer...