Audit mots de passe : checklist 2026 en 10 minutes

Personne n’a envie de passer une heure dans les paramètres de chacun de ses comptes pour vérifier la qualité de ses mots de passe. La bonne nouvelle : un audit honnête de la posture de sécurité de vos mots de passe prend dix minutes si on suit la bonne méthode. Voici la checklist complète, applicable à n’importe quel adulte qui possède un email, un compte bancaire et une dizaine de comptes en ligne.

Avant de commencer : les trois prérequis

  1. Un gestionnaire de mots de passe installé (Bitwarden, 1Password, KeePass) avec votre coffre déjà importé. Si ce n’est pas fait, voir notre comparatif des 7 gestionnaires gratuits pour choisir.
  2. Une connexion Internet stable (les vérifications de fuite interrogent des bases publiques type Have I Been Pwned).
  3. 10 minutes sans interruption — l’audit perd son intérêt si vous êtes interrompu et vous oubliez où vous en étiez.

L’audit ne nécessite aucun outil payant ni aucune compétence technique particulière. Tous les services utilisés sont gratuits et 100 % côté client (zéro upload de vos mots de passe).

La checklist en 7 étapes (10 minutes au total)

Étape 1 — Vérifier la santé globale du coffre (1 min)

La plupart des gestionnaires de mots de passe modernes intègrent un rapport de santé ou security report :

  • Bitwarden : icône bouclier en bas → « Rapports » → « Mots de passe faibles », « réutilisés », « exposés ».
  • 1Password : barre latérale → « Watchtower ».
  • KeePassXC : menu « Outils » → « Rapport de santé du mot de passe ».

Notez les trois chiffres clés : nombre de mots de passe faibles, réutilisés, compromis. Ces trois indicateurs orientent les étapes suivantes.

Étape 2 — Identifier les mots de passe compromis dans une fuite (2 min)

Le rapport de santé interroge la base Have I Been Pwned via l’API k-anonymity (votre mot de passe ne quitte pas votre appareil sous forme exploitable, seuls les 5 premiers caractères de son hash SHA-1 sont envoyés). Tous les mots de passe marqués « exposed » sont à changer en priorité absolue.

À défaut de gestionnaire intégré, l’outil web haveibeenpwned.com/Passwords accepte la saisie manuelle d’un mot de passe (à n’utiliser qu’en mode incognito).

Notre tutoriel dédié : vérifier si un mot de passe a fuité.

Étape 3 — Repérer les mots de passe réutilisés (1 min)

Le même rapport de santé liste les comptes qui partagent le même mot de passe. Si vous en avez trois ou plus, vous êtes exposé au credential stuffing : une fuite sur un service donne accès à tous les autres. Voir combien de mots de passe différents avoir pour calibrer la cible.

Étape 4 — Régénérer en priorité les comptes critiques compromis (3 min)

Tous les comptes ne se valent pas. La hiérarchie 2026 :

TierComptes concernésAction si compromis
1 — critiqueEmail principal, banque, gestionnaire de mots de passe, identité numériqueChanger immédiatement, activer 2FA
2 — sensibleRéseaux sociaux, cloud storage, e-commerce avec carte enregistréeChanger dans la journée
3 — standardForums, applications de loisir, newslettersChanger dans la semaine

Pour chaque compte de tier 1 marqué compromis ou réutilisé : ouvrez le site, allez dans paramètres → sécurité → changer le mot de passe, et générez un mot de passe unique avec un générateur de mot de passe côté client — 12 à 16 caractères pour un compte standard, 20 caractères ou passphrase Diceware pour un compte critique.

Étape 5 — Activer ou vérifier le 2FA sur chaque compte tier 1 (2 min)

Pour chaque compte de tier 1, vérifier que le 2FA est activé et que la méthode est solide :

  • Clé physique FIDO2 ou passkey > application TOTP > SMS.
  • Si la méthode est SMS, basculer sur TOTP au minimum (Aegis sur Android, Raivo sur iOS, Bitwarden Authenticator).

Voir notre guide d’activation 2FA après mot de passe fort pour l’ordre exact des opérations.

Étape 6 — Sauvegarder les codes de secours (30 secondes)

À chaque activation 2FA, le service propose 8 à 10 codes de secours à usage unique. Téléchargez-les, sauvegardez-les dans une note chiffrée (note sécurisée Bitwarden, item Secure Note 1Password, entrée KeePass) — pas dans un email, pas dans un fichier texte sur le bureau. Sans ces codes, perdre son téléphone signifie perdre l’accès au compte définitivement.

Étape 7 — Programmer le prochain audit (30 secondes)

Ouvrez votre agenda et créez un événement récurrent « Audit mots de passe — 10 min » tous les 6 mois. Une fréquence semestrielle est suffisante si vous utilisez un gestionnaire et générez systématiquement des mots de passe uniques. Tous les 3 mois pour un usage professionnel ou si vous gérez les comptes d’une famille.

Les 5 résultats à mesurer après l’audit

L’audit produit des indicateurs chiffrés. Notez-les pour comparer dans 6 mois :

  1. Nombre de mots de passe compromis — cible : 0.
  2. Nombre de mots de passe réutilisés — cible : 0 sur tier 1, < 3 doublons sur tier 2-3.
  3. Pourcentage de comptes tier 1 avec 2FA actif — cible : 100 %.
  4. Pourcentage de méthodes 2FA = passkey ou FIDO2 — cible : > 50 %.
  5. Date du dernier changement de mot de passe email principal — cible : < 12 mois.

Si tous les indicateurs sont au vert, votre exposition aux attaques par crédential stuffing et phishing automatisé tombe à environ 5 % du niveau d’un utilisateur sans audit. Pour comprendre l’ampleur des fuites récentes, voir notre rapport mots de passe compromis avril 2026.

Les pièges à éviter pendant un audit

  • Saisir manuellement un mot de passe dans un site externe « pour vérifier sa force » — la majorité de ces sites ne sont pas légitimes. Utilisez uniquement les outils intégrés à votre gestionnaire ou un générateur côté client open-source.
  • Garder l’ancien mot de passe noté « au cas où » sur un post-it ou dans un fichier non chiffré. Une fois remplacé, l’ancien doit disparaître complètement.
  • Réactiver le SMS comme méthode de récupération lorsqu’on perd son authenticator. Préférez les codes de secours sauvegardés à l’avance.
  • Tout changer le même jour sur 50 comptes — risque de saturation, d’erreurs et de blocage temporaire de plusieurs services. Étalez sur 2 ou 3 sessions de 10 minutes.

FAQ — Audit mots de passe 2026

À quelle fréquence faut-il auditer ses mots de passe ?

Tous les 6 mois pour un usage personnel standard. Tous les 3 mois pour un usage professionnel ou si vous gérez les comptes d’une famille (10 + comptes par membre × 3-4 personnes = volume vite ingérable). Auditer en plus à chaque fuite majeure annoncée publiquement (ex. : grosse fuite chez un service que vous utilisez), sans attendre la prochaine échéance.

Mon gestionnaire dit que mon mot de passe est faible mais je n’ai jamais eu de problème — dois-je vraiment le changer ?

Oui. L’absence de problème jusqu’ici ne prouve rien — la plupart des compromissions par crédential stuffing sont silencieuses (l’attaquant exploite l’accès à votre insu, par exemple pour envoyer du spam ou tester d’autres services). Un mot de passe faible est un risque dormant qui se matérialise sans avertissement le jour où votre compte sert à un usage frauduleux.

Puis-je faire l’audit sur mon téléphone uniquement ?

Oui pour la lecture du rapport (l’application Bitwarden mobile affiche le même rapport de santé que la version desktop). Non recommandé pour les changements de mot de passe — l’écran réduit, l’absence de raccourcis clavier et la frappe au pouce multiplient les erreurs et le temps. Préférez un ordinateur ou une tablette avec clavier pour la phase « régénérer ».

Que faire si le rapport de santé liste 50 comptes compromis ou réutilisés ?

Ne tentez pas de tout changer en une session — vous abandonnerez à mi-chemin. Étalez l’effort sur 3 sessions de 10 minutes sur une semaine, en attaquant tier 1 puis tier 2 puis tier 3. Si un service est obscur ou que vous ne l’utilisez plus depuis 2 ans, supprimez le compte plutôt que de le sécuriser — un compte qui n’existe plus ne peut pas être compromis.

Mon antivirus propose un audit mots de passe — vaut-il celui d’un gestionnaire ?

Variable. Les modules « password manager » de Norton, McAfee, Avast existent mais sont généralement moins matures que Bitwarden, 1Password ou KeePass. Surtout, ils stockent les mots de passe dans le cloud de l’éditeur antivirus (point de centralisation supplémentaire). Pour un audit purement local et open-source, KeePassXC reste la référence. Pour un audit cloud avec synchronisation multi-appareils, Bitwarden gratuit suffit. Le périmètre dépasse souvent le seul gestionnaire : pour mesurer ce que les traceurs publicitaires exfiltrent au passage, parcourez notre analyse des adblockers selon la protection des données qui complète bien la démarche.

Étape suivante : si l’audit a révélé des mots de passe à régénérer, ouvrez directement le générateur côté client (zéro upload, illimité, gratuit) et changez les comptes tier 1 en moins de 2 minutes par compte.