Mot de passe béton en 10 min : Diceware (tuto simple)

Mot de passe béton en 10 min : Diceware (tuto simple)

Tu veux un mot de passe vraiment solide, facile à retenir, sans passer ta vie sur un gestionnaire ou sur un générateur chelou ? Bon. Moi aussi. Et après avoir testé des "astuces" à base de substitutions foireuses (genre P@ssw0rd!... oui, j'ai honte), j'ai fini par adopter un truc simple et franchement redoutable : Diceware.

Le principe est presque bête : tu tires des mots au hasard avec des dés, tu obtiens une passphrase (une phrase de passe), et tu te retrouves avec un mot de passe long, mémorisable, et ultra dur à deviner. Et non, pas besoin d'être cryptographe. En 10 minutes, c'est plié.

Diceware, c'est quoi au juste ?

Une passphrase, c'est juste une suite de mots. Pas une "phrase" au sens grammaire parfaite, plutôt un collier de mots qui n'ont rien à voir entre eux. Le truc, c'est le hasard. Pas "au hasard parce que j'ai pensé à pizza", mais au hasard mathématiquement, avec des dés.

Diceware, c'est une méthode : tu lances des dés (souvent 5 dés, ou 1 dé lancé 5 fois), tu obtiens un code à 5 chiffres entre 11111 et 66666, et tu cherches le mot correspondant dans une liste Diceware. Tu répètes ça 5 ou 6 fois, et bam : ta passphrase est prête.

La première fois que j'ai fait ça, j'ai eu un mélange du style "gaufre-velours-taxi-boussole-prairie". Pas poétique, mais mon cerveau l'a retenu bien plus vite qu'un truc du genre "G7!fK2$zQ...". Et côté sécurité, c'est une autre planète.

Pourquoi c'est plus solide que "un mot + un chiffre + un symbole" ?

Tu connais la recette classique : un mot, une majuscule, un chiffre, un caractère spécial. Franchement, ça rassure, mais les attaquants connaissent la chanson. Les attaques par dictionnaire + règles (majuscule au début, "!" à la fin, "2024" etc.) avalent ça à la vitesse de la lumière.

Avec Diceware, tu joues sur un truc que les machines détestent : l'espace de recherche énorme d'une suite de mots tirés au hasard. Plus tu mets de mots, plus ça explose. Et comme c'est des mots, toi tu peux le retenir sans te faire un nœud au cerveau.

Personnellement, je préfère une passphrase de 5 ou 6 mots plutôt qu'un mot de passe court "complexe". Dans la vraie vie, je dois le taper sur téléphone, parfois sur une TV, parfois sur un PC avec un clavier bizarre... Du coup, la longueur mémorisable gagne presque tout le temps.

Ce qu'il te faut (spoiler : presque rien)

Question bête : tu as des dés sous la main ? Si oui, parfait. Sinon, tu peux en emprunter, en acheter pour 2€, ou utiliser une appli... mais je t'explique mon avis juste après.

• 5 dés à 6 faces (le plus pratique) ou 1 dé lancé 5 fois
• Une liste Diceware en français (ou en anglais si tu préfères)
• Un stylo + papier, ou une note hors-ligne

Petit aparté : oui, tu peux faire ça avec un site "roll dice". Honnêtement, je le fais parfois quand je suis en déplacement. Mais quand je veux un mot de passe vraiment critique (compte mail principal, gestionnaire de mots de passe, chiffrement), je préfère des dés physiques. C'est simple, tu élimines toute la question "est-ce que le site triche ?".

Le tuto Diceware en 10 minutes (simple et concret)

1) Choisis ton "niveau" : 5 ou 6 mots ?

Je vais être direct : 5 mots c'est déjà très solide pour la majorité des usages. 6 mots c'est mon choix pour les comptes qui ouvrent la porte à tout le reste (mail, iCloud/Google, gestionnaire). 4 mots, je trouve ça un peu court pour du long terme, sauf si tu ajoutes un petit "twist".

Bon, on part sur 5 mots pour l'exemple, et je te dis à la fin comment renforcer si tu veux.

2) Lance les 5 dés (ou 1 dé 5 fois)

Tu lances tes 5 dés d'un coup. Tu notes les chiffres dans l'ordre. Exemple : 2-6-1-4-3, ça donne 26143.

Si tu n'as qu'un dé, tu le lances 5 fois et tu notes la suite. Juste fais gaffe à ne pas "refaire" un lancer parce que "ça te plaît pas". Le truc c'est que le hasard doit rester le boss, même si tu tombes sur un mot bizarre.

3) Trouve le mot associé dans la liste Diceware

Tu prends ta liste Diceware (PDF imprimé, page web locale, etc.), tu cherches le code 26143, et tu notes le mot associé. Tu répètes l'opération jusqu'à avoir tes 5 mots.

Après avoir testé plusieurs listes, j'ai remarqué un truc : certaines listes françaises ont des mots avec accents, des tirets, ou des formes un peu rares. Ça marche très bien... mais pense à ton clavier. Si tu tapes souvent sur mobile, les accents peuvent être pénibles. Perso, je vise des mots sans caractères exotiques quand je sais que je vais le saisir souvent.

4) Assemble ta passphrase

Tu as tes 5 mots. Tu les colles ensemble avec une règle simple. Moi, j'utilise souvent le tiret, parce que c'est lisible et rapide à taper :

mot1-mot2-mot3-mot4-mot5

Tu peux aussi mettre des espaces, mais certains systèmes n'aiment pas les espaces (ou les gèrent mal). Du coup, le tiret reste mon choix "passe-partout".

5) Ajoute un petit "twist" (optionnel, mais j'aime bien)

Affirmation directe : une passphrase Diceware pure, c'est déjà top. Mais j'aime bien ajouter un détail qui ne casse pas la mémorisation et qui complique encore la vie des attaques.

Voilà trois "twists" que j'utilise (tu n'es pas obligé d'en prendre plusieurs) :

1. Une majuscule sur le 2e mot seulement (toujours le même emplacement)
2. Un chiffre au milieu, genre après le 3e mot
3. Un symbole simple et stable, genre "." ou "!" à la fin

Exemple : mot1-mot2-Mot3-mot4-mot5! ou mot1-mot2-mot3-7-mot4-mot5. Le but, c'est d'avoir une règle que tu retiens sans y penser.

Exemple complet (sans tricher avec le hasard)

Imagine que je lance les dés et que j'obtiens ces codes : 13466 / 62531 / 21452 / 46611 / 35126. Je récupère 5 mots dans la liste. Résultat :

bougie-vortex-ardoise-tambour-lucarne

Ce n'est pas "joli", mais c'est justement ce qu'on veut : pas de logique, pas de thème, pas de phrase que quelqu'un pourrait deviner. Et toi, tu peux te faire une image mentale débile (une bougie dans un vortex qui aspire une ardoise...) et ça rentre tout seul.

Mes conseils de terrain (les trucs qui évitent de se planter)

Évite de générer une passphrase sur un site random

Oui, c'est pratique. Mais quand ça concerne ton compte principal, je préfère ne pas dépendre d'un service en ligne. Des dés physiques + une liste hors-ligne, c'est "low tech", mais c'est solide. Bref, c'est rassurant.

Ne recycle pas la même passphrase partout

Question simple : si un site se fait pirater, tu veux que ça ouvre tes autres comptes ? Non. Du coup, une passphrase = un compte important. Pour les comptes "secondaires", un gestionnaire de mots de passe fait très bien le job.

Teste la saisie sur tes appareils

La première fois, j'avais mis des apostrophes et des caractères que je galérais à taper sur Android. Résultat : j'ai perdu du temps, et j'ai failli "simplifier" le mot de passe. Mauvaise pente. Fais un test : tu le tapes 5 fois sur ton téléphone et ton PC. Si ça te saoule, ajuste le séparateur ou la liste de mots.

Diceware + gestionnaire de mots de passe : combo gagnant

Je ne suis pas dans le délire "tout à la main". Pour moi, le meilleur équilibre, c'est :

• Une passphrase Diceware très solide pour le gestionnaire (et le mail principal si tu veux)
• Le gestionnaire qui génère des mots de passe uniques pour tous les sites

Comme ça, tu n'as qu'un seul secret "humain" à retenir, et tout le reste est blindé. Et si tu veux monter encore d'un cran : active la double authentification (TOTP, clé de sécurité). Là, tu dors tranquille.

Conclusion : en vrai, c'est presque trop simple

Tu prends des dés, tu tires 5 ou 6 mots, tu les assembles proprement, et tu obtiens un mot de passe long, robuste, et mémorisable. Le truc qui change tout, c'est le hasard réel. Après avoir testé Diceware sur mes propres comptes, j'ai arrêté de bricoler des mots de passe "malins". Ça ne vaut pas le coup.

Si tu veux, je peux aussi te proposer une variante "100% sans accents et compatible partout", ou une méthode pour créer des passphrases différentes par site sans les noter (avec une petite règle perso). Tu me dis ton usage : compte mail, Wi‑Fi, PC, gestionnaire ?