Mots de passe : les conséquences inattendues (et désastreuses) d’une fatigue numérique

Un salarié avait enregistré tous ses mots de passe dans le cloud de son téléphone. Lorsque celui-ci tomba en panne, le cauchemar commença. Pour remettre la main sur sa vie numérique, il lui fallait encore un autre mot de passe. Il le faisait d’ordinaire machinalement. Black-out : s’agissait-il d’une île de sorcières en Indonésie, d’un code appris par cœur, ou encore d’une méthode phonétique : ght3CD7am ("J’ai acheté trois CD cet après-midi") ? Toujours pas.

Mais pourquoi n’avait-il pas noté ces petits secrets dans un carnet ? Il avait placé toute sa confiance dans la technologie. L’angoisse le submergea : et si ses trésors numériques étaient perdus à jamais ? Il alla même jusqu’à envisager l’hypnose régressive ou les services d’un hacker repenti. Finalement, dans une arrière-boutique, un technicien – son sauveur – lui permit de récupérer ses photos. Et soudain, comme par magie, ses doigts retapèrent machinalement le sésame, "v@m0$AlaPlAy1A" : Vamos a la playa. Sa mémoire occultée revint. Véritable charge mentale, "les mots de passe en disent beaucoup sur nous", souligne Helen Petrie, professeure émérite en interaction homme-machine à l’Université de York.

Imagination, mémoire et fatigue

En 2001, la chercheuse a étudié la façon dont les individus génèrent leurs mots de passe. Sa conclusion : ceux-ci sont un miroir psychologique et se rapportent à "notre famille, nos centres d’intérêt, notre passé". Sans surprise, 37 % des salariés utilisent le nom de leur employeur dans un mot de passe lié au travail (rapport Keepersecurity, 2020). "Beaucoup de nos mots de passe sont infusés de pathos, de sottises, parfois même de poésie" observait en 2014 dans le New York Times le journaliste Ian Urbina dans son article The Secret Life of Passwords.

Tout cadre sait qu’en cas de panne ou de changement de matériel, il faudra entrer son mot de passe. Faut-il alors révéler "Bibiche12@L0v-U" ? Ou bien avouer qu’on l’a oublié, comme une personne sur cinq qui doit le réinitialiser plusieurs fois par semaine ? Pourtant, près de deux tiers des utilisateurs comptent uniquement sur leur mémoire pour les retenir, d’après une étude Bitwarden (Sharing Global Password Management Survey Results in Advance of World Password Day, 2021). Mais le diptyque imagination-mémoire a ses limites : bien que 92 % des personnes aient conscience qu’utiliser une variation du même mot de passe est risqué, 65 % le font quand même (LastPass, Psychology of Passwords, 2021). C’est le signe de la charge mentale qui s’installe. Il faut rester vigilant, insiste le gouvernement sur le site Cybermalveillance. En effet, gare à la lassitude : 62 % des personnes exprimant un fort ras-le-bol vis-à-vis des mots de passe sont susceptibles d’être piratées contre 29 % de celles qui se disent moins touchées (Beyond Identity, Measuring Password Fatigue : Usability and Cybersecurity Impacts, 2022). C’est la faille : 80 % des violations de données sont liées à des mots de passe (Verizon, 2025 Data Breach Investigations Report).

En 2020, 60 % des victimes d’attaques avaient réutilisé au moins un mot de passe sur plusieurs plateformes (Infosecurity Magazine, 2021). Les responsables ? La fatigue numérique et la tendance à sous-estimer les cybercriminels qui, pourtant, ciblent tout le monde. En 2024, un tiers des Français a déjà été victime d’une cyberattaque et la cybercriminalité a coûté plus de 100 milliards d’euros aux entreprises françaises (Statista).

Une fatigue coûteuse

Selon l’entreprise de cybersécurité Beyond Identity (étude Measuring Password Fatigue), 87 % des Américains sont touchés par l’épuisement numérique lié aux mots de passe. Les exigences dans l’entreprise comme les modifications obligatoires destinées à sécuriser les comptes "ont entraîné beaucoup de confusion et de stress pour ceux qui tentent de garder une trace des mots de passe dans des contextes professionnels et personnels… Plus des trois quarts des personnes interrogées ont déclaré que la fatigue liée aux mots de passe affectait négativement leur productivité et leur santé mentale", souligne l’enquête. Contrairement aux idées reçues, les plus jeunes ne sont pas plus à l’aise : plus de la moitié des membres de la génération Z déclarent une "forte lassitude" face aux accès cryptés, contre seulement 29 % des baby-boomers. Personne ne s’y retrouve, puisque les employeurs américains dépensent en moyenne 480 dollars par employé en temps perdu uniquement sur des mots de passe, un coût qui grimpe à 670 dollars pour ceux qui se sentent épuisés par ces process.

Quelles solutions ? Les gestionnaires de mots de passe sont une option, tout comme d’autres méthodes d’authentification : biométrie, analyse comportementale ou encore reconnaissance d’attributs d’appareil permettent de valider une identité sans saisir de code. Mais elles posent des problèmes juridiques et ne sont pas encore généralisées. En attendant, Al@F1estaVam0s (A la fiesta vamos) fera l’affaire.