Excel, post-it, SMS : pourquoi ces méthodes mettent vos mots de passe en danger
Quelque part sur le réseau de votre organisation, il y a probablement un fichier nommé "mdp.xlsx" ou "Mots de passe - NE PAS SUPPRIMER.docx". Peut-être un post-it sur l'écran de la salle de réunion avec le code WiFi. Ou un message WhatsApp de 2022 avec le mot de passe du site web. Ce n'est pas un jugement : ces pratiques se retrouvent dans des PME, des associations, des équipes IT entières. Le problème, c'est qu'elles exposent vraiment vos comptes, et pas seulement "en théorie".
En bref
- L'ANSSI et la CNIL déconseillent explicitement le stockage de mots de passe en clair (Excel, fichier texte, email, post-it)
- Le piratage de compte est la 2e menace la plus fréquente pour les particuliers en France selon le rapport 2024 de Cybermalveillance.gouv.fr
- Les identifiants volés sont en cause dans la majorité des violations de données selon le rapport Verizon DBIR 2024
- Un gestionnaire de mots de passe (coffre chiffré) résout ces cinq problèmes sans effort supplémentaire
Pourquoi ce sujet est moins trivial qu'il n'y paraît
En 2024, Cybermalveillance.gouv.fr a enregistré plus de 420 000 demandes d'assistance (+50 % par rapport à 2023). Le piratage de compte se maintient en deuxième position des menaces les plus fréquentes pour les particuliers, avec une progression de 55 % en volume. Les violations de données personnelles ont explosé à +82 %.
Ces chiffres ne tombent pas du ciel. Derrière chaque compte piraté, il y a souvent un mot de passe récupéré quelque part : dans un fichier mal protégé, dans un email intercepté, dans une base de données compromise. Le rapport Verizon Data Breach Investigations 2024 confirme que les identifiants volés sont impliqués dans la grande majorité des violations touchant les applications web.
Voici les cinq habitudes les plus répandues — et les risques concrets qui vont avec.
1. Le fichier Excel (ou Google Sheets) avec tous les mots de passe
La situation
Le fichier s'appelle "mdp.xlsx", ou "Accès - confidentiel.xlsx", ou parfois juste "Liste.xls" quelque part dans un dossier partagé. Trois colonnes : site, identifiant, mot de passe. Parfois une colonne "remarques". Tout le monde y a accès via le Google Drive de l'équipe ou le NAS. C'est pratique, ça se met à jour facilement, et ça marche depuis des années.
Le problème n'est pas le tableur en lui-même. C'est que les données y sont stockées en clair, sans aucun chiffrement. Quiconque obtient l'accès au dossier — un prestataire, un stagiaire, quelqu'un dont le compte est compromis — voit tous les mots de passe d'un coup.
Un seul accès compromis expose tout. Si le compte Google d'un membre de l'équipe est piraté, l'attaquant accède au Drive et donc au fichier complet. Pas un mot de passe, tous les mots de passe.
Pas de traçabilité. Impossible de savoir qui a consulté ou modifié une entrée. Si un mot de passe est changé malicieusement ou par erreur, on ne sait pas quand ni par qui.
Zéro granularité. Le stagiaire chargé des réseaux sociaux a accès au même fichier que le mot de passe du compte bancaire. Personne ne l'a décidé explicitement — c'est juste que le fichier est là.
L'ANSSI, dans son guide de bonnes pratiques sur les mots de passe, est explicite : ne jamais stocker ses mots de passe dans un fichier non protégé sur son ordinateur ou son téléphone. La France Numérique confirme que le stockage dans des "fichiers non protégés, des emails ou des notes physiques" fait partie des pratiques dangereuses à éviter.
La bonne alternative
Un coffre de mots de passe chiffré. Les données sont chiffrées au repos et en transit. Chaque membre de l'équipe n'accède qu'aux entrées qui le concernent. Si un compte est compromis, l'attaquant ne voit rien sans la clé de déchiffrement.
2. Le post-it sur l'écran ou sous le clavier
La situation
L'écran de l'accueil d'un cabinet, d'une association ou d'un open space. Sur le côté du moniteur ou collé au bureau : un post-it avec "WiFi : NomDuReseau / MotDePasse123" et juste en dessous, le code d'accès au logiciel de gestion. Ou encore la liste des codes d'accès dans le tiroir du bas, "là où tout le monde sait chercher".
Intuitivement, on pense à la menace externe — le hacker à distance. Mais pour le post-it, la menace est physique et bien plus proche.
Visiteurs et prestataires. Un plombier, un technicien informatique, un livreur, un commercial qui attend dans la salle de réunion. Dix secondes pour lire et photographier discrètement le post-it.
Le nettoyage et les déménagements. Ces post-it survivent aux personnes qui les ont écrits. Quand quelqu'un quitte le poste ou que le bureau change d'espace, les accès restent collés quelque part.
Les photos de réunion. Une photo prise "pour garder une trace du tableau blanc" — avec le post-it visible en arrière-plan. Publiée sur LinkedIn ou envoyée dans un groupe WhatsApp.
Cybermalveillance.gouv.fr le dit sans détour dans sa fiche pratique sur les mots de passe : ne jamais noter ses mots de passe sur un post-it collé à son matériel ou dans un carnet non sécurisé laissé à proximité du poste de travail.
La bonne alternative
Si le problème est de devoir retenir un code d'accès partagé (WiFi de la salle, code alarme), ce type d'information a sa place dans un coffre partagé. L'équipe y accède depuis n'importe quel appareil sans que l'information soit physiquement visible dans la pièce.
3. Envoyer les mots de passe par SMS, WhatsApp ou email
La situation
"Je t'envoie le mdp par SMS". "Je te l'ai mis dans le fil WhatsApp de l'équipe". "Je te transfère l'email avec les codes d'accès". C'est la façon la plus naturelle de transmettre une information à quelqu'un rapidement. Et c'est aussi l'une des plus risquées.
Le risque n'est pas tant dans la transmission elle-même que dans la persistance. Ces messages restent dans les historiques. Indéfiniment.
L'historique ne ment pas. Un téléphone perdu ou volé, un compte WhatsApp compromis, une sauvegarde cloud non sécurisée : tout l'historique des conversations est accessible, y compris les mots de passe envoyés il y a deux ans.
Les emails ne sont pas chiffrés par défaut. Un email standard transite en clair sur plusieurs serveurs. Sans S/MIME ou PGP (que personne n'utilise en pratique), le contenu est lisible pour n'importe quel opérateur intermédiaire.
Le compte email est la clé de voûte. Quand un compte email est compromis, l'attaquant peut utiliser la fonction "mot de passe oublié" pour accéder à tous vos autres comptes. C'est pourquoi la CNIL recommande de protéger particulièrement les comptes de messagerie.
Cybermalveillance.gouv.fr est catégorique : ne jamais communiquer ses mots de passe par messagerie (email, SMS, chat, etc.), quelle que soit la confiance accordée à l'interlocuteur.
La bonne alternative
Inviter directement la personne dans le coffre partagé plutôt que de lui envoyer le mot de passe. Si le partage est ponctuel (prestataire externe, accès temporaire), utiliser un lien de partage à durée limitée avec une phrase secrète transmise par un canal séparé.
4. Utiliser le même mot de passe partout
La situation
"J'ai un bon mot de passe fort que j'utilise partout". Ou une variante : "J'ai un mot de passe de base et j'ajoute le nom du site à la fin". "MonMdpGoogle", "MonMdpFacebook", "MonMdpAmazon". Ce système paraît astucieux. Il a un défaut majeur.
La réutilisation est le principal vecteur d'attaque par credential stuffing : des robots qui testent automatiquement des combinaisons login/mot de passe obtenues lors d'une fuite de données, sur des centaines d'autres services. Si votre mot de passe Gmail a fuité lors d'une violation chez un autre prestataire, il sera testé sur votre banque, votre hébergeur, votre compte Microsoft.
Les violations de données sont fréquentes. Chaque année, des milliers de services en ligne sont piratés et leurs bases d'identifiants se retrouvent en circulation. Si vous utilisez le même mot de passe sur un de ces services, tous vos comptes sont exposés.
Les variantes sont détectables. Les attaquants connaissent le truc du nom du site à la fin. Les dictionnaires de credential stuffing testent automatiquement ces patterns.
Un seul compte compromis crée un effet domino. Si vous utilisez le même mot de passe partout, une seule fuite suffit pour compromettre tous vos comptes. Avec un mot de passe unique par service, la compromission d'un compte n'affecte pas les autres.
La CNIL et l'ANSSI s'accordent sur ce point : chaque compte doit avoir son propre mot de passe unique. C'est la recommandation n°1 des deux autorités, avant même la longueur ou la complexité. Voir les conseils CNIL pour un bon mot de passe.
La bonne alternative
Un mot de passe fort et unique par service, généré aléatoirement. Personne n'est capable de retenir 50 mots de passe différents — c'est précisément pour ça que les gestionnaires de mots de passe ont été inventés.
5. Le fichier texte sur le bureau (ou dans les notes du navigateur)
La situation
"passwords.txt" sur le bureau. Ou dans les notes de Chrome. Ou dans Apple Notes. Ou dans Notepad++ ouvert en permanence dans la barre des tâches. Ou dans un document Word dans "Mes Documents". Variante élaborée : le fichier est protégé par le mot de passe du compte Windows — qui est aussi sur un post-it dans le tiroir.
Le fichier texte est la version numérique du post-it. Sans chiffrement, il est accessible à tout logiciel malveillant qui s'exécute sur la machine.
Les stealers l'aspirent en 2 secondes. Les logiciels malveillants de type infostealer (RedLine, Raccoon, Vidar et autres) recherchent automatiquement les fichiers nommés "password", "mdp", "login", "credentials" et les envoient aux attaquants. C'est automatisé et très courant.
Les sauvegardes cloud exposent le fichier. Si le bureau est synchronisé avec OneDrive, iCloud ou Google Drive (ce qui est souvent activé par défaut), le fichier est accessible depuis n'importe quel appareil connecté au même compte.
Accès physique = accès aux mots de passe. Une session ouverte, un écran déverrouillé, un ordinateur partagé : toute personne avec un accès physique à la machine peut ouvrir le fichier en 10 secondes.
Les 10 règles d'or de l'ANSSI incluent explicitement de ne pas stocker ses mots de passe dans des fichiers en clair. L'ANSSI précise que l'utilisation d'un coffre-fort de mots de passe est "la solution adaptée" pour stocker et organiser des identifiants multiples.
La bonne alternative
Un gestionnaire de mots de passe stocke les données dans une base chiffrée (AES-256 dans la plupart des cas). Même si un attaquant accède au fichier de la base, il ne peut rien faire sans la clé maître. KeePassXC, recommandé par l'ANSSI, est un exemple de solution open source pour un usage local.
Ce qui fonctionne vraiment
La recommandation converge de partout : un coffre de mots de passe (aussi appelé gestionnaire de mots de passe) associé à l'authentification à deux facteurs sur les comptes critiques.
Un coffre de mots de passe chiffré. Les données sont illisibles sans la clé maître. Pour un usage individuel, KeePassXC (local, open source, certifié ANSSI) ou Bitwarden (cloud, open source) sont des options éprouvées. Pour un usage en équipe ou en association, il faut une solution qui gère le partage et les membres.
Un mot de passe fort et unique par service, généré par le gestionnaire. Vous n'avez pas besoin de le retenir ni de l'inventer : l'outil génère "xK7!mP2@nQr5#vL9" et le stocke à votre place.
L'authentification à deux facteurs (2FA) sur les comptes critiques : email principal, banque, hébergeur, outils de gestion. Même si le mot de passe est volé, l'attaquant ne peut pas se connecter sans le deuxième facteur. La double authentification est fortement recommandée par Cybermalveillance.gouv.fr partout où elle est disponible.
Pour les équipes, associations et familles
La difficulté avec les solutions grand public (KeePass, Bitwarden...) est qu'elles ne sont pas pensées pour le partage en groupe. Gérer les membres, les invitations, les niveaux d'accès — c'est possible mais ça demande de la configuration.
Des solutions comme Coffre.pro sont pensées spécifiquement pour ce cas : plusieurs personnes partagent un ou plusieurs coffres, chacun accède uniquement à ce dont il a besoin, et la gestion des membres (invitation, retrait) se fait en quelques clics. C'est gratuit pour les petites structures.
Sources institutionnelles
- Cybermalveillance.gouv.fr — Bonnes pratiques sur les mots de passe
- ANSSI — Recommandations relatives à l'authentification multifacteur et aux mots de passe
- CNIL — Mots de passe : recommandations pour maîtriser sa sécurité
- Cybermalveillance.gouv.fr — Rapport d'activité 2024
- France Num — Pourquoi et comment utiliser un gestionnaire de mots de passe
Remplacer le fichier Excel en 10 minutes
Coffre.pro est gratuit, sans limite de membres ni de mots de passe. Créez votre premier coffre, invitez votre équipe, et abandonnez le tableur.
Créer un compte gratuit