L'entropie d'un mot de passe, c'est quoi exactement ?
L'entropie mesure le nombre de combinaisons possibles qu'un attaquant doit tester pour trouver votre mot de passe. Plus ce nombre est grand, plus le mot de passe est solide — indépendamment de sa complexité apparente.
Prenons deux exemples concrets :
• P@ssw0rd! — 9 caractères piochés dans un alphabet de ~90 symboles → environ 59 bits d'entropie
• cheval-escalier-nuage-lampe — 28 caractères piochés dans un "alphabet" de 80 000 mots français → environ 68 bits d'entropie
Le second est bien plus long, pourtant bien plus mémorisable — et mathématiquement plus solide.
Le problème spécifique de l'IA et du ciblage individuel
Les attaques traditionnelles par "force brute" testent toutes les combinaisons possibles aveuglément.
Mais les outils modernes, entraînés sur des milliards de mots de passe réels, fonctionnent différemment : ils apprennent les patterns humains.
Une IA peut ainsi inférer que vous êtes susceptible d'utiliser :
• Le prénom de votre enfant + une date de naissance
• Le nom de votre équipe sportive favorite avec un chiffre à la fin
• Un mot du dictionnaire avec des substitutions classiques (le @ pour a, le 3 pour e, le 0 pour o)
• ...
Ces substitutions que l'on croit astucieuses sont en réalité les premières testées. P@ssw0rd est cracké en quelques secondes par n'importe quel outil moderne, précisément parce que ce pattern est hyper-répertorié.
Pourquoi la longueur résiste mieux à ce type d'attaque
Une phrase de passe comme cheval-escalier-nuage-lampe présente trois avantages face à une attaque ciblée par IA :
Elle casse les patterns attendus. L'IA cherche des structures humaines prévisibles : mots seuls, substitutions connues, dates. Une séquence de 4 mots sans lien sémantique sort de ces schémas.
L'espace de recherche explose. Même si l'IA sait que vous utilisez des mots français courants, elle doit tester toutes les combinaisons de 4 mots parmi 80 000. C'est 4 × 10¹⁹ possibilités — là où un mot de passe complexe mais court reste dans un espace bien plus restreint.
Elle résiste au profilage. Si une IA dispose d'informations sur vous glanées sur les réseaux sociaux, elle peut prioriser des combinaisons liées à votre vie. cheval-escalier-nuage-lampe n'a aucun lien avec votre identité — il n'y a rien à cibler.
La limite à garder en tête
Cette approche est excellente pour les mots de passe que vous devez retenir : votre mot de passe maître, votre session Windows, votre téléphone. Pour tout le reste, un gestionnaire de mots de passe générant des chaînes vraiment aléatoires de 20+ caractères reste la meilleure option — parce qu'il n'y a rien à mémoriser, donc aucune raison de faire des compromis sur la complexité.
