Dans la majorité des incidents de sécurité, la faille ne vient pas d’un bug complexe ou d’un piratage sophistiqué, mais tout simplement d’une erreur humaine. Mots de passe faibles, mauvaises habitudes, manque de vigilance : l’utilisateur reste l’un des maillons les plus exposés.
Voici les erreurs de sécurité les plus courantes côté utilisateurs, leurs risques, et surtout comment les éviter.
1 Stocker ses mots de passe en clair
Notes papier, fichier texte sur l’ordinateur, email envoyé à soi-même… conserver ses mots de passe en clair est l’une des erreurs les plus fréquentes.
- Un ordinateur compromis = tous les comptes exposés
- Un email piraté donne accès à d’autres services
- Aucune traçabilité ni protection
Solution : utiliser un gestionnaire de mots de passe (Bitwarden, 1Password, KeePass) qui chiffre les données localement.
2 Réutiliser le même mot de passe partout
Un seul mot de passe pour l’email, les réseaux sociaux, le site e-commerce et l’admin du site web : c’est un scénario catastrophe.
- Une seule fuite suffit pour compromettre tous les comptes
- Les attaques par credential stuffing exploitent cette habitude
- L’email piraté permet souvent de réinitialiser les autres comptes
Solution : un mot de passe unique par service, généré automatiquement.
3 Choisir des mots de passe faibles ou prévisibles
“azerty123”, “password”, “nomduchien2024” ou une date de naissance sont devinables en quelques secondes.
- Les attaques par dictionnaire testent des millions de combinaisons
- Les informations personnelles sont faciles à trouver
- Les bots automatisent ces tentatives
Solution : mots de passe longs (14+ caractères), aléatoires, sans logique personnelle.
4 Ne pas activer la double authentification (2FA)
Même avec un bon mot de passe, un compte reste vulnérable sans double authentification.
- Un mot de passe volé suffit pour se connecter
- Le 2FA bloque la majorité des attaques automatisées
- Les comptes sensibles sont les premières cibles
Solution : activer le 2FA partout où c’est possible (email, admin, hébergement, réseaux sociaux).
5 Cliquer sur des liens suspects (phishing)
Faux emails de livraison, de banque, de réinitialisation de mot de passe : le phishing reste l’attaque la plus efficace.
- Vol d’identifiants via de faux formulaires
- Installation de malware ou de ransomware
- Accès à des comptes professionnels
Solution : ne jamais cliquer sans vérifier l’expéditeur, l’URL, et passer par le site officiel.
6 Se connecter depuis des réseaux Wi-Fi non sécurisés
Wi-Fi publics (cafés, gares, hôtels) peuvent être surveillés ou piégés.
- Interception des données non chiffrées
- Vol de sessions actives
- Attaques de type man-in-the-middle
Solution : utiliser uniquement des sites en HTTPS et, si possible, un VPN.
7 Ignorer les mises à jour
Systèmes, navigateurs, plugins, CMS : ne pas mettre à jour, c’est laisser des failles connues ouvertes.
- Les attaquants ciblent en priorité les versions obsolètes
- Les correctifs corrigent souvent des failles critiques
- Un site à jour est beaucoup moins attaquable
Solution : activer les mises à jour automatiques quand c’est possible.
8 Partager ses identifiants
Donner ses accès à un collègue, prestataire ou ami sans contrôle est une erreur fréquente.
- Impossible de savoir qui a fait quoi
- Les accès ne sont pas toujours révoqués
- Responsabilité engagée en cas d’incident
Solution : créer des comptes distincts avec des droits limités.
9 Sauvegarder des données sensibles sans protection
Clé USB, disque externe, cloud non sécurisé : les sauvegardes sont souvent oubliées dans la stratégie de sécurité.
- Perte ou vol du support
- Données accessibles sans mot de passe
- Aucune protection en cas de fuite
Solution : chiffrer les sauvegardes et limiter leur accès.
10 Penser que “ça n’arrive qu’aux autres”
Beaucoup d’utilisateurs sous-estiment les risques, surtout sur de petits sites ou des usages personnels.
- Les bots attaquent tout, sans distinction
- Les petits sites sont souvent moins protégés
- La sécurité n’est pas une question de taille
Bonnes pratiques essentielles à retenir
- Utiliser un gestionnaire de mots de passe
- Un mot de passe unique par service
- Activer la double authentification
- Faire attention aux emails et liens
- Mettre à jour systématiquement
- Limiter et contrôler les accès
Conclusion : la sécurité ne repose pas uniquement sur la technique. Les meilleurs systèmes peuvent être contournés par de mauvaises habitudes. Former et sensibiliser les utilisateurs est souvent la protection la plus efficace.
Par Thibaut Pietri
Ingénieur informatique spécialisé réseau, basé à Toulouse, j'ai plus de 25 ans d'expérience en développement et sécurisation de sites Internet, Extranet & applications mobiles autour des technologies LAMP (Linux/Apache/MySQL/PHP) sur différents outils de gestion de contenu (Wordpress, Prestashop, Drupal, Isens Evolution...).
Derniers articles
PHP 8.x : nouveautés utiles pour les projets existants
26 décembre 2025 PHP 8.x n’est pas seulement une nouvelle version plus rapide. Pour les projets existants, il apporte des améliorations concrètes en termes de lisibilité du code, de sécurité et de robustesse, sans forcément tout réécrire.
Les 10 attaques web les plus courantes et comment s’en protéger
22 décembre 2025 Un site web exposé sur Internet est en permanence scanné par des robots à la recherche de failles. La bonne nouvelle, c’est que la plupart des attaques sont connues, prévisibles, et donc évitables si l’on applique des règles simples côté serveur, PHP et base de données.
Les risques de sécurité liés aux métadonnées des photos
14 août 2019 En photographie numérique, les métadonnées sont stockées à l'intérieur d'un fichier JPG et permettent de décrire un certain nombre d'informations complémentaires. Ces métadonnées représentent un risque de sécurité.