Incroyable mais vrai, le mot de passe le plus courant en France en 2023 est toujours le plus simple du monde

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 15 novembre 2023 à 20h33

Le mot de passe est encore trop pris à la légère en 2023 © TierneyMJ / Shutterstock

Dans le monde entier mais aussi en France, le mot de passe le plus utilisé en 2023 demeure l'iconique « 123456 », déchiffrable en moins d'une seconde. Dans la liste, ceux qui suivent ne sont pas bien plus difficiles à trouver.

C'est en étroite collaboration avec des chercheurs indépendants spécialisé dans la cybersécurité et en se basant sur une gigantesque base de données collectées notamment sur le dark web, que NordPass a établi son étude des mots de passe les plus courants en France. Vous allez voir que malgré la sensibilisation et les outils de protection qui existent, comme les gestionnaires de mots de passe, les pratiques globales ont encore du mal à changer.

Le roi du mot de passe est toujours le même, année après année

Comme l'an dernier, le célèbre « 123456 » reste le mot de passe le plus répandu en France et dans le monde. On vous laisse prendre connaissance du reste du top 20.

123456
123456789
azerty
admin
1234561
azertyuiop
loulou
000000
doudou
password
marseille
motdepasse
12345678
chouchou
soleil
cheval
12345
Password
bonjour
1234567891

Le fameux « 123456 » est d'ailleurs sans concurrence, puisque retrouvé 86 656 fois dans la base de données étudiée, pesant autour de 5 to. Le second, « 123456789 » a lui été totalisé 38 771 fois. Un vrai gouffre. « Chouchou » et « loulou » sont en bonne place dans le classement, de quoi faire plaisir à Alexandra Lamy et Jean Dujardin.

Notons qu'à l'échelle du globe, « 123456 » est aussi le numéro un des mots de passe les plus courants parmi ceux découverts dans les données des pirates. Il est suivi d'« admin » et de « 12345678 ». À chaque fois, il ne faut pas plus d'une seconde à un hacker pour craquer ces mots de passe, exception faite pour « marseille », qui peut prendre une bonne journée, si le processus est automatisé.

Ce mot de passe se passe de commentaires, non ? © Vitalii Vodolazskyi / Shutterstock

Les mots de passe ne peuvent plus s'ériger en protection première

Pour l'édition 2023 de son étude, NordPass a innové en nous présentant aussi des résultats en fonction des mots de passe les plus utilisés par les internautes pour différents services en ligne. On apprend par exemple que les mots de passe les plus faibles utilisés par les usagers concernent leurs comptes de streaming.

Pour le directeur technique de NordPass, Tomas Smalakys, « cette tendance pourrait être associée à la gestion commune de comptes partagés et à l'utilisation de mots de passe faciles à mémoriser pour des raisons de praticité ». Ceux choisis pour les comptes financiers sont, en revanche, les plus solides. Il y a une forme de logique là-dedans, d'autant plus que les établissements bancaires, organismes de crédit ou assurances imposent pour certains une combinaison de chiffres, caractères spéciaux et lettres.

Parce que toute la bonne volonté du monde ne suffit pas à rendre le mot de passe suffisamment protecteur, l'alternative des clés de sécurité (clés d'accès ou passkeys) s'affirme comme une nouvelle forme d'authentification. L'utilisateur n'a plus besoin de créer de mot de passe, et lorsqu'il se connecte à un site internet compatible, son appareil génère une paire de clés (une publique, une privée), la première étant enregistrée sur l'appareil, la seconde stockée sur le serveur du site web.

Si l'usager est identifié à l'aide d'un moyen biométrique, alors les clés sont associées et l'identification se fait en un rien de temps. C'est sans doute là qu'est l'avenir. Google et d'autres poussent en tout cas en ce sens.

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Cybersécurité

Actualités Antivirus

Logiciels & services

Actualités mots de passe / authentification

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

Keorl

Ben non ce n’est pas « incroyable mais vrai ». Il n’y a aucune chance que ça évolue sensiblement (au pire azerty prendra la place de 123456, ou autres échanges de position).
C’est tout le principe du classement : on prend les mots de passe les plus courants. On tombera FORCÉMENT sur les mots de passe les plus moisis, même si l’éducation du public s’amélior[e/ait]. Un mot de passe correctement fait (génération aléatoire) est par définition rare si ce n’est unique et n’apparaitra donc jamais au classement.
Plutôt que de faussement s’étonner que le classement reste à peu près le même, il serait plus intéressant d’analyser l’évolution de la fréquence de ces mots de passe courants (est-elle globalement en baisse ? stable ? en hausse ?), et l’évolution de la répartition des mots de passe par type : suites simples, mots/noms/dates vulnérables aux attaques dictionnaire les plus simples, mots de passe simples déguisés pour se conformer à des règles imposées ou apprises mais vulnérables aux attaques dico sophistiquées (substitutions, ajout de caractères spéciaux ou chiffres à la fin …), et enfin mots de passe apparemment aléatoire et/ou n’ayant pas pu être retrouvés à partir d’une fuite de hash salés.

Squeak

Je pense que la plupart des sites parmi les plus visités mettent en place des règles maintenant pour éviter ça. C’est même une nécessité.

Pourtant, peu de gens sont au courant qu’il existe des excellents gestionnaires de mots de passe sécurisés.

Hikarunogo

Quasiment tous les sites obligent maintenant à une lettre majuscule, minuscule, un chiffre et un signe.

Pour les autres, les suites de chiffres ou nombres comme 987654 ne posent pas de problème s’ils ont mis une limitation du nombre d’erreurs de mot de passe.

Dans tous les cas, il faut mettre une limitation du nombre d’erreurs de mot de passe avant un blocage de l’adresse IP.

bennukem

La tendance vas aussi vers la connexion sans mot de passe. On rentre son identifiant puis on reçoitpaf email un lien avec un token. Bon par contre l’email lui reste avec « 123456 »…

xXBernadette_SanguineXx

Je ne vois pas ou est le problème, un site qui t’oblige de faire une inscription pour avoir une information… chez moi c’est mail poubelle et mot de passe 123456. Je ne vois pas pourquoi j’irais mettre un mot de passe complexe pour un site ou je ne rentre pas de donnés personnelles/ ou que je ne compte pas garder au long terme.

Felaz

J’aime beaucoup « Cheval »

rapikinor

Déjà la source est discutable …
« base de données collectées notamment sur le dark web »

Et 86000 sur combien ?!?

keyplus

moi j’ai 123456! car personne n’est capable de calculer le factoriel de 123456
d’où l’intérêt de si connaitre en math

OliverS

Exactement comme écrit précedemment, une base de données issue du dark web comme source. Base de données dont on ne sait rien : de quand date t’elle ? est ce que les sites impactés ont forcé le cgt de mdp ? combien de 123456 sur un total de combien de mdp stockés ? etc etc …
Bref, pas grande valeur ce résultat. Sans compter que comme écrit aussi précedemment, il n’y a plus bcp de site/apps/etc… qui autorise 123456 comme mdp…

Winpoks

Même sans cette règle, limiter le nombre de tentatives dans un certain laps de temps est un indispensable. La plupart l’ont mis en place heureusement.

Grâce à cette sécurité, suffit de prendre le dixième mot de passe utilisé et t’es tranquille un moment !