Les années passent, et rien ne bouge. Les mots de passe les plus utilisés en France, et dans le monde, n’ont quasiment pas changé d’un caractère et sont toujours aussi faciles à craquer.

Le palmarès 2024 des pires mots de passe est là, et il ne surprend (malheureusement) personne © Yuganov Konstantin / Shutterstock
Le palmarès 2024 des pires mots de passe est là, et il ne surprend (malheureusement) personne © Yuganov Konstantin / Shutterstock

Qui dit fin d’année, dit bilan traditionnel sur la sécurité des mots de passe. Et comme chaque fin d’année, le constat est le même : les internautes négligent encore et toujours la solidité de leurs identifiants, malgré les alertes et recommandations à répétition. Aussi ne serez-vous pas surpris d’apprendre qu’en France, et dans le monde de manière générale, le mot de passe le plus utilisé reste… « 123456 ». Il est grand temps de changer vos habitudes, et rallonger cette combinaison de quelques chiffres supplémentaires n’est évidemment pas une option.

Une situation qui empire année après année

Les cyberattaques n’ont jamais été aussi nombreuses, et ce ne sont manifestement pas les comportements de sécurité des internautes qui changeront la donne. D’après une étude coréalisée par NordPass et NordStellar, les mots de passe les plus utilisés dans le monde sont toujours si faibles qu’il faut moins d’une seconde à des hackers pour les craquer.

Dans le détail, les données collectées proviennent d’une base de données de 2,5 To, constituée à partir de plusieurs sources accessibles au public, y compris sur le dark web, et donnent des tendances pour un ensemble de 44 pays.

Sans surprise, on retrouve donc un top 5 mondial composé de :

1. 123456 (utilisé plus de 3 millions de fois)
2. 123456789 (1,6 million)
3. 12345678 (885 000)
4. password (692 000)
5. qwerty123 (643 000)

En France, le niveau n’est pas bien brillant non plus, avec un top 10 presque similaire :

1. 123456 (utilisé plus de 68 700 fois)
2. 123456789 (36 000)
3. azerty (29 000)
4. qwerty123 (23 000)
5. qwerty1 (21 000)
6. azertyuiop (14 000)
7. marseille (11 000)
8. doudou (9 500)
9. loulou (9 500)
10. 12345678 (8 500)

Non seulement ces mots de passe sont bien trop courts, mais ils sont aussi trop peu complexes. On rappelle que la règle impose des combinaisons d’une douzaine de caractères, mêlant arbitrairement majuscules, minuscules, chiffres et caractères spéciaux. Les mots de passe doivent aussi être uniques à chaque service en ligne pour éviter les chaînes de compromission en cascade en cas de piratage d’un compte spécifique.

Au-delà de ces chiffres, les analyses menées par NordPass et NordStellar sont plutôt décourageantes. Aujourd’hui, près de la moitié des mots de passe utilisés dans le monde ne sont qu’une combinaison de caractères les plus faciles à saisir sur le clavier. Pire encore, 78% des codes d’accès les plus courants sont déchiffrables en moins d’une seconde. À titre de comparaison, ils n’étaient « que » 70% en 2023. En clair, malgré les campagnes de sensibilisation plus actives année après année, la situation ne va pas en s’améliorant.

Spoiler (non) : "123456" n'est plus une option envisageable en 2024 © Vitalii Vodolazskyi / Shutterstock
Spoiler (non) : "123456" n'est plus une option envisageable en 2024 © Vitalii Vodolazskyi / Shutterstock

Les entreprises pas mieux loties

Petite nouveauté cette année : ce triste palmarès s’accompagne de nouvelles données concernant les habitudes de sécurisation des comptes professionnels. Et là encore, les tendances ne sont pas glorieuses, alors que 40% des mots de passe les plus utilisés par les particuliers le sont aussi par les responsables d’entreprises.

En France, le top 5 est présidé par « 123456 », suivi de « azerty » et « 123456789 ». Viennent enfin « 12345 », puis « LIAISONS ». Là encore, ces mots de passe trop courts, trop simples et trop logiques ne peuvent prétendre résister à des attaques par force brute ou par dictionnaire. Parmi ces cinq combinaisons, seule « LIAISONS » peut espérer dépasser une seconde de durée de vie… mais pas plus de trois heures.

Par acquit de conscience, on rappellera donc qu’il existe des gestionnaires de mots de passe sécurisés et correctement intégrés aux systèmes, aux applications et aux navigateurs pour vous décharger des aspects logistiques inhérents aux identifiants. N’hésitez pas à vous en servir pour créer des codes d’accès solides, complexes et uniques que vous n’aurez pas besoin de retenir.

Pensez aussi à activer l’authentification multifactorielle lorsqu’elle est prise en charge par les services en ligne. En cas de tentative de piratage, les cyberattaquants ne pourront vraisemblablement pas finaliser le processus sans second code de vérification. Même si, là encore, les techniques de phishing et de social engineering de plus en plus sophistiquées ont déjà démontré à plusieurs reprises qu’il était possible pour les pirates de parvenir à obtenir des codes de confirmation à usage unique, communiqués par les internautes eux-mêmes.

Les tentatives de phishing de plus en plus sophistiquée parviennent même à soustraire les codes OTP aux internautes © tete_escape / Shutterstock

Adieu mots de passe, bonjour passkeys ?

Sommes-nous alors dans une impasse ? Pas tout à fait. Les mots de passe touchent certainement à leurs limites, mais il existe de nouvelles manières de protéger l’accès à ses comptes en ligne grâce aux passkeys. Ces clés d’accès chiffrées de bout en bout sont de plus en plus poussées par l’alliance FIDO, qui a récemment annoncé travailler sur un cadre technique visant à standardiser la technologie, et à permettre leur portabilité entre plusieurs appareils.

L’idée est ici de verrouiller ses services en ligne non plus à l’aide d’un mot de passe facile à craquer, mais à l’aide d’une paire de clés privée/publique, la première stockée sur les appareils des internautes, la seconde conservée par le site web ou l’application. Dans cette configuration, il est, en théorie, impossible de compromettre à distance la sécurité du verrouillage, à plus forte raison si les passkeys sont associées à l’authentification biométrique ou à la reconnaissance faciale.

Aujourd’hui, de plus en plus de fournisseurs de services intègrent la prise en charge des passkeys, Apple, Microsoft et Google les premiers. Lorsque l’option vous est proposée, peut-être auriez-vous alors intérêt à reléguer au placard vos traditionnels mots de passe, surtout s’ils font partie du malheureux top susmentionné.

À découvrir
Meilleur gestionnaire de mots de passe, le comparatif en 2024

29 novembre 2024 à 08h50

Comparatifs services