Glossaire mots de passe & authentification
32 définitions factuelles — de AES-256 à zero-knowledge — pour comprendre la sécurité des mots de passe et de l'authentification.
32 termes — 7 catégories
Fondamentaux
- Gestionnaire de mots de passe
- Application qui génère, stocke et remplit automatiquement les mots de passe dans un coffre-fort chiffré. Seul le mot de passe maître déverrouille le coffre localement ; les données chiffrées sont synchronisées sur le serveur (modèle zero-knowledge).
- Coffre-fort (Vault)
- Base de données chiffrée contenant tous les identifiants, notes et cartes de paiement. Le coffre est chiffré côté client avant toute synchronisation : le serveur ne voit jamais les données en clair.
- Open source
- Logiciel dont le code source est public et auditable. Pour un gestionnaire de mots de passe, l'open source permet à des chercheurs indépendants de vérifier l'implémentation cryptographique. Bitwarden et KeePassXC sont entièrement open source.
- Mot de passe maître (Master password)
- Seul mot de passe que l'utilisateur doit mémoriser. Il dérive la clé de chiffrement via une fonction KDF (PBKDF2 ou Argon2id) et ne quitte jamais l'appareil sous forme brute.
Chiffrement
- Zero-knowledge (connaissance nulle)
- Architecture dans laquelle le fournisseur de service ne peut pas lire les données de l'utilisateur. La clé de déchiffrement est dérivée localement à partir du mot de passe maître : seul l'utilisateur y a accès.
- AES-256
- Standard de chiffrement symétrique avec clé de 256 bits (Advanced Encryption Standard). Adopté par le NIST en 2001, résistant aux attaques quantiques de Grover avec marge confortable. Utilisé par Bitwarden, 1Password et la majorité des gestionnaires.
- XChaCha20-Poly1305
- Algorithme de chiffrement authentifié (AEAD) combinant le chiffrement XChaCha20 et le MAC Poly1305. Utilisé par NordPass et Signal. Offre des performances supérieures sur les appareils sans accélération matérielle AES.
- E2EE (chiffrement de bout en bout)
- Chiffrement où seuls les deux extrémités de la communication peuvent lire les données. Dans un gestionnaire de mots de passe, E2EE garantit que le serveur ne voit que des blobs chiffrés, jamais les données en clair.
Mots de passe
- Entropie (bits)
- Mesure de l'imprévisibilité d'un mot de passe en bits. Chaque bit supplémentaire double l'espace de recherche pour un attaquant. Formule : L x log2(N), où L = longueur et N = taille de l'alphabet. Cible NIST : 60 à 80 bits pour un compte personnel.
KDF
- PBKDF2
- Password-Based Key Derivation Function 2. Fonction de dérivation qui applique une fonction pseudo-aléatoire (typiquement HMAC-SHA256) des milliers de fois pour ralentir les attaques par force brute. Bitwarden utilise 600 000 itérations (seuil OWASP 2023).
- Argon2id
- Vainqueur du Password Hashing Competition (2015). Combine résistance mémoire (Argon2i) et résistance GPU (Argon2d). Mode recommandé pour la dérivation de clés de mots de passe maîtres. Utilisé par Bitwarden (option) et NordPass.
- Salt (grain de sel)
- Valeur aléatoire unique ajoutée à un mot de passe avant hachage. Empêche les attaques par table arc-en-ciel et garantit que deux mots de passe identiques produisent des hachés différents. Généré avec un CSPRNG et stocké en clair avec le haché.
- Hachage (Hash)
- Transformation à sens unique d'une donnée en empreinte de longueur fixe. Un bon algorithme de hachage (SHA-256, Argon2id) est déterministe, irréversible et résistant aux collisions. Ne pas confondre avec le chiffrement, qui est réversible.
Authentification
- Passkey (clé d'accès)
- Identifiant cryptographique FIDO2 composé d'une paire de clés asymétriques. La clé privée reste sur l'appareil ; le serveur ne stocke que la clé publique. Élimine les mots de passe et résiste nativement au phishing. Synchronisable entre appareils via un gestionnaire.
- FIDO2 / WebAuthn
- Standard ouvert du FIDO Alliance et W3C pour l'authentification forte sans mot de passe. WebAuthn est l'API navigateur ; CTAP2 est le protocole entre l'appareil et l'authenticateur (clé matérielle, biométrie). Base technique des passkeys.
- TOTP (One-Time Password temporel)
- Code à usage unique de 6 chiffres généré toutes les 30 secondes via HMAC-SHA1 et l'heure courante (RFC 6238). Standard utilisé par Google Authenticator, Authy, Bitwarden Authenticator. Résiste à la rejouabilité mais vulnérable au phishing en temps réel.
- HOTP (One-Time Password HMAC)
- Variante du TOTP basée sur un compteur plutôt que sur l'heure (RFC 4226). Le code change à chaque utilisation, pas toutes les 30 secondes. Utilisé dans certaines clés matérielles comme YubiKey en mode OTP.
- 2FA / MFA (authentification à plusieurs facteurs)
- Mécanisme combinant au moins deux facteurs : quelque chose que l'on sait (mot de passe), que l'on possède (téléphone, clé matérielle) ou que l'on est (biométrie). Le 2FA est le cas minimal à deux facteurs. Réduit drastiquement le risque de compromission par credential stuffing.
- Clé matérielle (Hardware key)
- Dispositif physique (YubiKey, Google Titan) qui stocke une clé privée dans une puce sécurisée et signe des challenges FIDO2. Le plus haut niveau de sécurité MFA : la clé privée ne quitte jamais le matériel, immunisant contre le phishing distant.
- Biométrie
- Facteur d'authentification basé sur une caractéristique physique (empreinte digitale, reconnaissance faciale). Dans les gestionnaires de mots de passe, la biométrie déverrouille l'accès au coffre sans ressaisir le mot de passe maître, mais ne remplace pas la clé de déchiffrement.
- Code de récupération (Recovery code)
- Code unique à usage unique généré lors de l'activation du MFA. Permet de regagner l'accès au compte si l'on perd son second facteur. Doit être conservé hors ligne en lieu sûr. Constitue lui-même un vecteur d'attaque si compromis.
Attaques
- Phishing
- Attaque d'ingénierie sociale imitant un site ou service légitime pour capturer identifiants ou OTP. Les passkeys et clés matérielles FIDO2 résistent nativement au phishing car ils lient cryptographiquement l'authentification à l'origine du site.
- Credential stuffing
- Attaque automatisée qui teste des paires identifiant/mot de passe issus de fuites de données sur d'autres services. Exploite la réutilisation de mots de passe. Un gestionnaire générant des mots de passe uniques par site élimine ce vecteur.
- Force brute (Brute force)
- Attaque testant exhaustivement toutes les combinaisons possibles d'un mot de passe. La résistance dépend de l'entropie et du coût de calcul imposé par la KDF. Un mot de passe de 16 caractères aléatoires (95+ bits) est hors de portée même pour des GPU modernes.
- Attaque par dictionnaire
- Variante de la force brute testant d'abord les mots courants, variantes (p@ssw0rd, Summer2024!) et combinaisons de dictionnaires. Les outils comme Hashcat ou John the Ripper intègrent des règles de mutation couvrant des millions de patterns en secondes.
- Fuite de données (Breach)
- Incident de sécurité où des données d'authentification (mots de passe hachés ou en clair, emails) sont exfiltrées d'une base de données. La fuite LastPass 2022 a exposé des coffres-forts chiffrés de millions d'utilisateurs, soulignant l'importance d'un mot de passe maître fort.
- Have I Been Pwned (HIBP)
- Service de Troy Hunt indexant 900 millions+ de mots de passe compromis issus de fuites connues. L'API k-anonymat permet de vérifier si un mot de passe figure dans la base sans l'envoyer en clair : seuls les 5 premiers caractères du SHA-1 transitent.
- Keylogger
- Logiciel ou matériel enregistrant toutes les frappes clavier. Contournable via l'autofill des gestionnaires de mots de passe (les mots de passe ne sont jamais tapés) et les passkeys (pas de saisie de texte).
- Session hijacking (détournement de session)
- Attaque capturant un cookie de session valide pour usurper l'identité d'un utilisateur authentifié. Se produit par sniffing réseau, XSS ou vol de cookies. Les gestionnaires de mots de passe ne protègent pas directement contre ce vecteur post-connexion.
Entreprise
- SSO (Single Sign-On)
- Protocole permettant à un utilisateur de s'authentifier une seule fois pour accéder à plusieurs applications. Repose sur SAML 2.0 ou OIDC/OAuth 2.0. Les gestionnaires d'entreprise (Bitwarden, 1Password, Keeper) s'intègrent aux IdP (Okta, Azure AD, Google Workspace).
- SCIM
- System for Cross-domain Identity Management (RFC 7643/7644). Protocole d'API REST permettant de provisionner et déprovisionner automatiquement les comptes utilisateurs dans un gestionnaire de mots de passe depuis un IdP. Élimine les comptes orphelins lors des départs d'employés.
- Self-hosting (auto-hébergement)
- Hébergement d'un service sur ses propres serveurs plutôt que sur le cloud du fournisseur. Bitwarden et Vaultwarden (fork open source) sont les principaux gestionnaires auto-hébergeables. Donne un contrôle total sur les données au prix d'une responsabilité d'infrastructure.