Ah, les (mauvaises) habitudes en matière de mot de passe © Alexandre Boero / Clubic
Ah, les (mauvaises) habitudes en matière de mot de passe © Alexandre Boero / Clubic

La dernière étude du spécialiste de la cybersécurité, Kaspersky, révèle que près d'un mot de passe sur deux peut être deviné en un éclair ou presque. Les cybercriminels y parviennent grâce à de multiples techniques.

Malgré les nombreuses recommandations successives des autorités et des médias faites depuis des années, le refrain de la faiblesse des mots de passe semble éternel. Les résultats de la recherche menée par Kaspersky sont en tout cas sans appel : 45% des 193 millions de mots de passe disponibles sur le dark web peuvent être devinés par des pirates informatiques en une minute tout au plus.

La fragilité des mots de passe une fois de plus pointée du doigt

Les experts cyber ont analysé près de 200 millions de mots de passe qui peuvent avoir été récupérés puis publiés sur le dark web de différentes manières. Kaspersky précise d'ailleurs avoir relevé 32 millions de tentatives d'attaques menées par des voleurs de mots de passe envers des particuliers, pour la seule année 2023.

Pour le reste, la rapidité de compromission des mots de passe est stupéfiante. 45% (soit 87 millions) d'entre eux ont été « devinés » en moins d'une minute, 14% entre 1 minute et 1 heure. Seuls 4% des mots de passe analysés ne mettent qu'entre 1 mois et 1 an pour être compromis. Kaspersky élargit la discussion en précisant que néanmoins, 23% des mots de passe pourraient être considérés comme nécessitant plus d'un an pour être déchiffrés.

Mais si les statistiques sont ce qu'elles sont et peuvent varier d'une étude à une autre, d'une technologie de déchiffrement éprouvée à une autre, elles dégagent une tendance qui est souvent identique. Elle est confirmée par les séquences de vocabulaire les plus souvent utilisées. Les noms propres (« kevin », « ahmed », « daniel », « nguyen », « kumar »), les mots populaires (« google », « love », « gamer », « forever »), et les mots de passe standard (« password », « admin », « team », « 12345 »), tous indémodables, sont toujours des stars du mot de passe.

Meilleur antivirus, le comparatif en décembre 2024
A découvrir
Meilleur antivirus, le comparatif en décembre 2024

01 décembre 2024 à 11h06

Comparatifs services

Il y a quand même de vrais bons élèves

Kaspersky ajoute qu'à peine 2 mots de passe sur 10 (19%) étudiés parmi les 193 millions contiennent les signes d'une combinaison robuste, difficile à déchiffrer. Ouf, il y a quand même dans le lot des identifiants qui ne comportent donc pas de mot du dictionnaire, et qui mélangent des minuscules, majuscules, chiffres et symboles.

Parmi les techniques utilisées, il y a l'attaque par force brute, la fameuse méthode de l'essai-erreur qui consiste à essayer toutes les combinaisons possibles de caractères, dans l'ordre, jusqu'à trouver une correspondance. On peut aussi citer le voleur d'informations, dit infostealer, qui est un logiciel intelligent capable de collecter des identifiants.

Il ne faut pas non plus négliger l'utilisation d'algorithmes intelligents, qui sont construits sur un ensemble de données de mots de passe et permettent de calculer la fréquence de nombreuses combinaisons de caractères, puis d'effectuer des sélections parmi les plus courantes, jusqu'aux plus rares.