Gestion des mots de passe
Les élèves apprennent les bonnes pratiques pour créer et gérer des mots de passe sécurisés.
À propos de ce thème
Le mot de passe reste le premier rempart de la sécurité numérique, mais les pratiques des utilisateurs sont souvent catastrophiques : réutilisation, mots de passe courts, informations personnelles facilement devinables. En Seconde, les élèves apprennent non seulement les règles de création d'un mot de passe robuste, mais surtout les raisons techniques qui les justifient (attaques par dictionnaire, force brute, credential stuffing).
Ce sujet s'inscrit dans le volet sécurité du programme de SNT et fait le pont avec les fonctions de hachage étudiées précédemment. Les élèves comprennent comment un service stocke (ou devrait stocker) leurs mots de passe et pourquoi une fuite de base de données est si dangereuse quand les mots de passe sont faibles ou non salés.
Les activités pratiques (tester la robustesse de mots de passe, configurer un gestionnaire, simuler une attaque par dictionnaire) ancrent les bonnes pratiques dans l'expérience plutôt que dans l'injonction. Un élève qui a vu son propre mot de passe tomber en quelques secondes ne l'oublie pas.
Questions clés
- Pourquoi les mots de passe traditionnels sont-ils devenus insuffisants pour protéger nos comptes en ligne ?
- Comment un gestionnaire de mots de passe améliore-t-il à la fois la sécurité et l'ergonomie de notre vie numérique ?
- Quelles stratégies permettent de concevoir et de maintenir une politique de mots de passe réellement robuste ?
Objectifs d'apprentissage
- Analyser la vulnérabilité des mots de passe faibles face aux attaques par force brute et par dictionnaire.
- Comparer l'efficacité et la sécurité des méthodes de gestion de mots de passe traditionnelles et modernes (gestionnaires de mots de passe).
- Concevoir une politique de mots de passe robuste incluant la complexité, la longueur et la fréquence de changement.
- Expliquer le rôle du salage (salting) et du hachage dans la sécurisation des mots de passe stockés par les services en ligne.
- Évaluer les risques liés à la réutilisation des mots de passe sur différents services numériques.
Avant de commencer
Pourquoi : Les élèves doivent avoir une compréhension de base des menaces numériques et de l'importance de la protection des informations personnelles.
Pourquoi : La compréhension du concept de hachage est essentielle pour saisir comment les mots de passe sont stockés de manière sécurisée par les services en ligne.
Vocabulaire clé
| Hachage (Hashing) | Processus cryptographique qui transforme une donnée (comme un mot de passe) en une chaîne de caractères de longueur fixe, rendant sa lecture directe impossible. |
| Salage (Salting) | Ajout d'une chaîne de caractères aléatoire unique à chaque mot de passe avant le hachage, augmentant la sécurité contre les tables arc-en-ciel et les attaques par dictionnaire. |
| Attaque par force brute | Méthode d'essai systématique de toutes les combinaisons possibles de caractères pour deviner un mot de passe. |
| Attaque par dictionnaire | Méthode qui tente de deviner un mot de passe en essayant des mots courants, des noms et des phrases issus d'une liste prédéfinie. |
| Gestionnaire de mots de passe | Application qui génère, stocke et remplit automatiquement des mots de passe complexes et uniques pour différents comptes en ligne, nécessitant un seul mot de passe maître. |
Attention à ces idées reçues
Idée reçue couranteRemplacer des lettres par des chiffres (p@ssw0rd) rend un mot de passe sûr.
Ce qu'il faut enseigner à la place
Les outils d'attaque intègrent ces substitutions classiques (leet speak) dans leurs dictionnaires. La longueur est bien plus déterminante que la complexité apparente. L'exercice de test d'entropie montre qu'une phrase de passe de 5 mots simples est plus robuste qu'un mot court avec des caractères spéciaux.
Idée reçue couranteUn gestionnaire de mots de passe est dangereux car il met tous les œufs dans le même panier.
Ce qu'il faut enseigner à la place
Le risque d'un gestionnaire chiffré avec un mot de passe maître fort est bien moindre que celui de réutiliser le même mot de passe partout. En cas de fuite d'un seul service, tous les autres comptes restent protégés. La prise en main pratique en classe dissipe cette méfiance.
Idées d'apprentissage actif
Voir toutes les activitésDéfi de la ligne du temps: Combien de temps pour casser ton mot de passe ?
Les élèves utilisent un outil en ligne de calcul d'entropie (howsecureismypassword.net ou équivalent) pour tester la robustesse de différents mots de passe. Ils comparent les résultats entre un mot court, un mot du dictionnaire, et une phrase de passe longue.
Atelier pratique : Configurer un gestionnaire de mots de passe
Les élèves installent un gestionnaire gratuit (Bitwarden ou KeePassXC) et importent quelques identifiants de test. Ils explorent les fonctionnalités : génération aléatoire, remplissage automatique, détection de doublons. L'objectif est de lever les freins pratiques à l'adoption.
Penser-Partager-Présenter: Authentification à deux facteurs
Chaque élève réfléchit à ce qui se passe si son mot de passe est volé. En binôme, ils explorent les différentes formes de 2FA (SMS, application TOTP, clé physique) et classent leurs avantages et inconvénients. La mise en commun aboutit à une recommandation collective.
Jeu de simulation: L'attaque par dictionnaire
L'enseignant prépare une liste de hash de mots de passe courants. Les élèves, en petits groupes, tentent de retrouver les mots de passe en comparant avec un dictionnaire de mots fréquents. Ils mesurent combien de mots tombent et comprennent pourquoi les mots du dictionnaire sont à proscrire.
Liens avec le monde réel
- Les administrateurs système dans les entreprises, comme chez OVHcloud, doivent définir et faire appliquer des politiques de mots de passe strictes pour protéger les données des clients contre les cyberattaques.
- Les développeurs d'applications web, tels que ceux de la SNCF pour leur plateforme de réservation, implémentent des mécanismes de hachage et de salage pour sécuriser les identifiants des utilisateurs, même en cas de fuite de données.
- Les experts en cybersécurité de l'ANSSI recommandent l'utilisation de gestionnaires de mots de passe pour les particuliers afin de prévenir le vol d'identité et l'accès non autorisé aux comptes personnels.
Idées d'évaluation
Distribuez une fiche avec deux scénarios : 1) Un utilisateur crée le mot de passe 'Password123'. 2) Un utilisateur utilise un gestionnaire de mots de passe pour générer 'aZ7!pQ9@kR3$'. Demandez aux élèves d'expliquer en une phrase pour chaque scénario pourquoi l'un est plus sécurisé que l'autre et quel type d'attaque il résiste le mieux.
Posez la question : 'Pourquoi la réutilisation d'un mot de passe, même s'il est très complexe, représente-t-elle un risque majeur pour votre sécurité numérique ?' Encouragez les élèves à utiliser les termes 'credential stuffing' et 'fuite de données' dans leurs réponses.
Présentez aux élèves une liste de 5 mots de passe. Demandez-leur d'identifier ceux qui sont considérés comme faibles selon les critères vus en classe (longueur, complexité, prévisibilité) et d'expliquer brièvement pourquoi pour chaque exemple.
Questions fréquentes
Comment créer un mot de passe vraiment sûr ?
Qu'est-ce qu'une attaque par credential stuffing ?
Les passkeys vont-elles remplacer les mots de passe ?
Pourquoi tester soi-même la robustesse d'un mot de passe est-il pédagogiquement efficace ?
Modèles de planification pour Technologie
Plus dans Les Données Structurées et leur Traitement
Introduction aux données et à l'information
Les élèves distinguent les données brutes de l'information et explorent leur cycle de vie.
2 methodologies
Formats de données et métadonnées
Identification des formats ouverts (CSV, JSON) et analyse des informations invisibles cachées dans les fichiers.
2 methodologies
Représentation des nombres et du texte
Les élèves explorent comment les nombres et les caractères sont codés en binaire dans un ordinateur.
2 methodologies
Traitement de données avec Python
Utilisation de bibliothèques logicielles pour filtrer et trier des jeux de données massifs.
2 methodologies
Manipulation de listes et dictionnaires en Python
Les élèves apprennent à utiliser les structures de données fondamentales de Python pour organiser l'information.
2 methodologies
Lecture et écriture de fichiers CSV
Les élèves pratiquent la lecture et l'écriture de données dans des fichiers CSV avec Python.
2 methodologies