Marc-André de Laval n’était pas négligent. Il prenait sa sécurité au sérieux — à sa façon.
Il variait ses mots de passe légèrement. Montreal14 pour son email. Montreal14! pour sa banque. montreal14 pour son compte Walmart.ca. Il pensait que les majuscules, le point d’exclamation et les petites variations le protégeaient. Il avait tort.
En janvier, son compte Walmart.ca a été accédé à 2h37 du matin. Deux commandes : une console de jeu à 489 $ livrée à une adresse à Mississauga, et un iPhone à 1 199 $ en ramassage en magasin — récupéré avant qu’il se réveille. Quand il a appelé Walmart, on lui a dit que le compte avait été accédé avec les bonnes informations de connexion. Techniquement, ce n’était pas un piratage. C’était son propre mot de passe.
La fuite venait d’un forum de gaming qu’il avait rejoint en 2018 et complètement oublié. Le forum avait été compromis six mois plus tôt. Son adresse courriel et son mot de passe montreal14 circulaient depuis dans une liste vendue quelques dollars sur des forums privés. Un bot automatisé avait testé cette combinaison — et ses variations prévisibles — sur 500 sites différents en moins de 4 heures. Walmart.ca avait répondu positivement.
Marc-André a récupéré son argent après trois semaines de démarches. Mais il a perdu ses points-récompenses, son historique de commandes, et une bonne partie de sa confiance envers le commerce en ligne.
Comment fonctionne le credential stuffing — et pourquoi vos variations ne servent à rien
Alex utilise le même mot de passe de base depuis 2011. Il l’a appris à l’université, il s’en souvient, il le sait par cœur. Il varie : un ! ici, un chiffre là. Il pense que c’est assez.
Voici ce qu’il ne sait pas : 3,2 milliards d’identifiants circulent actuellement sur le dark web, accumulés depuis des années de fuites chez Adobe, LinkedIn, Dropbox, Yahoo, et des centaines d’autres services. Ces listes sont achetées et revendues. Elles sont utilisées dans des attaques appelées le credential stuffing.
Le principe est simple : on prend une liste de couples email/mot de passe récupérés dans une fuite, on les teste automatiquement sur des milliers de sites. Les outils spécialisés testent 10 000 combinaisons par minute. Ils appliquent automatiquement des règles de variation : motdepasse devient Motdepasse, motdepasse1, m0tdepasse, motdepasse!, MOTDEPASSE. Votre variation créative est dans un dictionnaire de règles que ces outils appliquent depuis des années.
Le compte d’Alex est testé sur 500 sites en 4 heures. Les succès sont logués automatiquement. Personne ne regarde l’écran — c’est entièrement automatisé. Quelques jours plus tard, quelqu’un trie les succès, vend les accès aux comptes Netflix et Spotify, garde les comptes bancaires pour lui.
Alex ne saura rien avant que sa banque le contacte. Ou jamais.
Pourquoi les variations ne fonctionnent pas :
Les attaquants connaissent les patterns humains mieux que vous. Ils savent que les gens ajoutent des chiffres à la fin (2011, 123, 99), capitalisent la première lettre, remplacent les a par des @, les e par des 3, les o par des 0. Ces règles de mutation sont intégrées dans les outils depuis au moins 2015. Votre créativité a ses limites — les algorithmes n’en ont pas.
La seule défense réelle est un mot de passe complètement aléatoire, unique par site, généré par une machine. Pas une variation humaine. Une chaîne de caractères que vous n’auriez jamais pensé vous-même.
Ce que « sécurisé » veut vraiment dire
Un mot de passe sécurisé répond à trois critères non négociables :
1. Unique par site. Si Walmart.ca est compromis, votre compte bancaire reste intact. Si LinkedIn fuite (et LinkedIn a fuité — deux fois), votre email professionnel reste fermé. Un mot de passe unique par compte casse la chaîne de propagation.
2. Long. Chaque caractère supplémentaire multiplie exponentiellement le temps nécessaire pour le forcer par bruteforce. 8 caractères : quelques heures. 12 caractères : des années. 16 caractères : plus longtemps que vous ne vivrez. La longueur bat la complexité.
3. Aléatoire. Pas une vraie phrase. Pas le nom de votre chien avec un chiffre. Pas une variation d’un mot qui existe. Une chaîne générée aléatoirement par un algorithme.
X9k#mL2@wQp7nR4v est sécurisé. Montreal14! ne l’est pas, peu importe comment vous le faites varier.
Les 10 pires mots de passe utilisés au Canada en 2025
Chaque année, les chercheurs en sécurité compilent les mots de passe les plus retrouvés dans les fuites. En 2025, les Canadiens utilisaient encore massivement :
123456password123456789qwerty123canada123hockey2024motdepasse11111112345678iloveyou
Si votre mot de passe ressemble à l’un de ces exemples — même avec des variations — changez-le ce soir. Pas demain. Ce soir.
Comment migrer vers Bitwarden en une soirée
La migration vers un gestionnaire de mots de passe fait peur. Elle semble compliquée. En réalité, la première soirée suffit pour couvrir vos comptes les plus importants. Voici exactement comment faire.
Étape 1 : Installer Bitwarden (5 minutes)
Allez sur bitwarden.com. Créez un compte gratuit avec votre adresse courriel principale.
Votre mot de passe maître — le seul que vous devrez retenir — doit être fort. Pas Bitwarden123. Une phrase de 4-5 mots aléatoires sans lien logique : violet-camion-baleine-escalier-44. Plus facile à mémoriser qu’un charabia, plus difficile à forcer qu’un mot de passe classique.
Attention : Bitwarden ne peut pas récupérer votre mot de passe maître si vous l’oubliez. Écrivez-le sur papier, rangez-le quelque part physiquement sécuritaire (pas un post-it sur votre écran). C’est la seule exception à la règle « tout en numérique ».
Étape 2 : Installer l’extension navigateur (2 minutes)
Dans Chrome ou Firefox, cherchez « Bitwarden » dans le gestionnaire d’extensions. Installez l’extension officielle. Connectez-vous avec votre nouveau compte.
L’extension va automatiquement détecter les formulaires de connexion et proposer de sauvegarder ou remplir vos mots de passe.
Étape 3 : Importer vos mots de passe existants (10 minutes)
Si vous utilisez le gestionnaire de mots de passe intégré à Chrome ou Firefox, vous pouvez tout exporter en un clic et l’importer dans Bitwarden.
Chrome : Paramètres → Google et mots de passe → Gestionnaire de mots de passe → Paramètres → Exporter → Télécharger le fichier CSV.
Firefox : Paramètres → Vie privée et sécurité → Identifiants et mots de passe → Trois points → Exporter les identifiants.
Dans Bitwarden : Menu → Outils → Importer → Choisir le format → Sélectionner votre fichier. En 30 secondes, tous vos mots de passe existants sont dans Bitwarden.
Important : Supprimez le fichier CSV après l’importation. Ce fichier contient tous vos mots de passe en clair — ne le laissez pas traîner sur votre bureau.
Étape 4 : Changer les mots de passe des comptes critiques (30-45 minutes)
Ne changez pas tout d’un coup — vous abandonnerez à mi-chemin. Commencez par les 5 comptes les plus importants, dans cet ordre :
- Votre email principal (Gmail, Outlook, Videotron) — c’est la clé maître de tous vos autres comptes
- Votre banque (Desjardins, TD, BMO, Banque Nationale)
- Votre compte gouvernemental (CRA / Revenu Québec)
- Amazon (accès à votre carte de crédit et à votre historique d’achat)
- Apple ID ou Google Account (accès à votre téléphone et à vos données)
Pour chaque compte : connectez-vous, allez dans les paramètres de sécurité, changez le mot de passe. Bitwarden va proposer de générer un mot de passe aléatoire (utilisez 20 caractères minimum) et de le sauvegarder automatiquement.
Étape 5 : Installer l’application mobile (5 minutes)
Bitwarden est disponible sur iOS et Android. Connectez-vous — tous vos mots de passe synchronisent immédiatement. Activez le déverrouillage par biométrie (empreinte ou Face ID) pour ne pas avoir à taper votre mot de passe maître à chaque fois.
Les semaines suivantes
Chaque fois que vous vous connectez à un site que Bitwarden ne connaît pas encore, il vous proposera de sauvegarder le mot de passe. Profitez-en pour le changer par un nouveau généré aléatoirement. En quelques semaines, la majorité de vos comptes sera couverte sans effort supplémentaire.
Le vrai risque que personne ne mentionne
Le compte le plus dangereux à protéger, ce n’est pas votre banque. C’est votre email.
Si quelqu’un accède à votre email, il peut cliquer sur « mot de passe oublié » sur n’importe quel autre site. La banque envoie un lien de réinitialisation à votre email. Amazon aussi. Le gouvernement aussi. L’attaquant n’a pas besoin de votre mot de passe de banque s’il contrôle votre boîte de réception — il peut en créer un nouveau.
L’email est la clé maître de tout le reste. Si vous ne changez qu’un seul mot de passe ce soir et n’activez la double authentification que sur un seul compte, que ce soit votre email.
Vérifiez si vos données ont déjà fuité
Allez sur haveibeenpwned.com et entrez votre adresse courriel. Le site recense les fuites publiques connues et vous indique si votre email y apparaît — et dans quelles fuites spécifiquement.
Si vous apparaissez dans une fuite : changez immédiatement le mot de passe du service concerné, et changez aussi tous les comptes où vous utilisez le même mot de passe. C’est le moment idéal pour commencer la migration Bitwarden.
La double authentification : le filet de sécurité quand le mot de passe ne suffit pas
Un gestionnaire de mots de passe vous protège contre le credential stuffing. Mais il existe un scénario où même un mot de passe unique et aléatoire ne suffit pas : quand le service lui-même est compromis et que les mots de passe sont récupérés côté serveur, ou quand quelqu’un accède physiquement à votre session.
C’est là que la double authentification (2FA) intervient.
Le principe : même si quelqu’un a votre mot de passe, il ne peut pas se connecter sans un second élément — généralement un code à 6 chiffres qui change toutes les 30 secondes sur votre téléphone.
Bob, comptable à Québec, utilisait Bitwarden depuis un an. Mot de passe unique, 20 caractères, aléatoire pour chaque compte. Un soir, quelqu’un tente de se connecter à son email professionnel depuis Lagos. Résultat : alerte immédiate sur son téléphone, connexion refusée faute du code 2FA. Le pirate avait le bon mot de passe — récupéré dans une fuite d’un service tiers — mais s’est arrêté là.
Sans 2FA, la session était ouverte. Avec 2FA, tentative bloquée en quelques secondes.
Comment activer la 2FA sur vos comptes principaux :
Téléchargez une application d’authentification : Authy ou Google Authenticator (gratuit sur iOS et Android). Dans les paramètres de sécurité de chaque compte (email, banque, Amazon), cherchez « Double authentification » ou « 2-Step Verification » et suivez les instructions pour lier votre application.
Évitez la 2FA par SMS si vous avez le choix — c’est mieux que rien, mais le SIM swapping permet à un attaquant de rediriger vos SMS vers son propre téléphone. Une application d’authentification est plus robuste.
Activez la 2FA dans cet ordre de priorité : email principal, compte bancaire en ligne, Amazon, Apple ID / Google Account, gestionnaire de mots de passe lui-même.
Marc-André, trois mois plus tard
Marc-André a installé Bitwarden le soir même du remboursement Walmart. Si vous ne savez pas par où commencer, notre comparatif des gestionnaires de mots de passe vous aidera à choisir le bon outil. Il a passé 40 minutes à migrer ses comptes principaux. Aujourd’hui, il gère 94 mots de passe — tous uniques, tous aléatoires, tous impossibles à deviner ou à forcer.
Il n’en retient qu’un seul : violet-camion-baleine-escalier-44.
La prochaine fois qu’une base de données fuite quelque part et que son email apparaît dans la liste, ça ne changera rien. Le mot de passe récupéré ne fonctionnera nulle part ailleurs. Le bot passera au suivant.
Des questions sur la sécurité de vos comptes? Notre équipe peut vous accompagner dans la migration vers un gestionnaire de mots de passe et configurer la double authentification sur tous vos appareils.
À lire aussi :
