Le palmarès 2024 des pires mots de passe est là, et il ne surprend (malheureusement) personne

Par Chloé Claessens, Spécialiste cybersécurité.

Publié le 14 novembre 2024 à 11h00

Les années passent, et rien ne bouge. Les mots de passe les plus utilisés en France, et dans le monde, n’ont quasiment pas changé d’un caractère et sont toujours aussi faciles à craquer.

Le palmarès 2024 des pires mots de passe est là, et il ne surprend (malheureusement) personne © Yuganov Konstantin / Shutterstock

Qui dit fin d’année, dit bilan traditionnel sur la sécurité des mots de passe. Et comme chaque fin d’année, le constat est le même : les internautes négligent encore et toujours la solidité de leurs identifiants, malgré les alertes et recommandations à répétition. Aussi ne serez-vous pas surpris d’apprendre qu’en France, et dans le monde de manière générale, le mot de passe le plus utilisé reste… « 123456 ». Il est grand temps de changer vos habitudes, et rallonger cette combinaison de quelques chiffres supplémentaires n’est évidemment pas une option.

Une situation qui empire année après année

Les cyberattaques n’ont jamais été aussi nombreuses, et ce ne sont manifestement pas les comportements de sécurité des internautes qui changeront la donne. D’après une étude coréalisée par NordPass et NordStellar, les mots de passe les plus utilisés dans le monde sont toujours si faibles qu’il faut moins d’une seconde à des hackers pour les craquer.

Dans le détail, les données collectées proviennent d’une base de données de 2,5 To, constituée à partir de plusieurs sources accessibles au public, y compris sur le dark web, et donnent des tendances pour un ensemble de 44 pays.

Sans surprise, on retrouve donc un top 5 mondial composé de :

1. 123456 (utilisé plus de 3 millions de fois)
2. 123456789 (1,6 million)
3. 12345678 (885 000)
4. password (692 000)
5. qwerty123 (643 000)

En France, le niveau n’est pas bien brillant non plus, avec un top 10 presque similaire :

1. 123456 (utilisé plus de 68 700 fois)
2. 123456789 (36 000)
3. azerty (29 000)
4. qwerty123 (23 000)
5. qwerty1 (21 000)
6. azertyuiop (14 000)
7. marseille (11 000)
8. doudou (9 500)
9. loulou (9 500)
10. 12345678 (8 500)

Non seulement ces mots de passe sont bien trop courts, mais ils sont aussi trop peu complexes. On rappelle que la règle impose des combinaisons d’une douzaine de caractères, mêlant arbitrairement majuscules, minuscules, chiffres et caractères spéciaux. Les mots de passe doivent aussi être uniques à chaque service en ligne pour éviter les chaînes de compromission en cascade en cas de piratage d’un compte spécifique.

Au-delà de ces chiffres, les analyses menées par NordPass et NordStellar sont plutôt décourageantes. Aujourd’hui, près de la moitié des mots de passe utilisés dans le monde ne sont qu’une combinaison de caractères les plus faciles à saisir sur le clavier. Pire encore, 78% des codes d’accès les plus courants sont déchiffrables en moins d’une seconde. À titre de comparaison, ils n’étaient « que » 70% en 2023. En clair, malgré les campagnes de sensibilisation plus actives année après année, la situation ne va pas en s’améliorant.

Spoiler (non) : "123456" n'est plus une option envisageable en 2024 © Vitalii Vodolazskyi / Shutterstock

Les entreprises pas mieux loties

Petite nouveauté cette année : ce triste palmarès s’accompagne de nouvelles données concernant les habitudes de sécurisation des comptes professionnels. Et là encore, les tendances ne sont pas glorieuses, alors que 40% des mots de passe les plus utilisés par les particuliers le sont aussi par les responsables d’entreprises.

En France, le top 5 est présidé par « 123456 », suivi de « azerty » et « 123456789 ». Viennent enfin « 12345 », puis « LIAISONS ». Là encore, ces mots de passe trop courts, trop simples et trop logiques ne peuvent prétendre résister à des attaques par force brute ou par dictionnaire. Parmi ces cinq combinaisons, seule « LIAISONS » peut espérer dépasser une seconde de durée de vie… mais pas plus de trois heures.

Par acquit de conscience, on rappellera donc qu’il existe des gestionnaires de mots de passe sécurisés et correctement intégrés aux systèmes, aux applications et aux navigateurs pour vous décharger des aspects logistiques inhérents aux identifiants. N’hésitez pas à vous en servir pour créer des codes d’accès solides, complexes et uniques que vous n’aurez pas besoin de retenir.

Pensez aussi à activer l’authentification multifactorielle lorsqu’elle est prise en charge par les services en ligne. En cas de tentative de piratage, les cyberattaquants ne pourront vraisemblablement pas finaliser le processus sans second code de vérification. Même si, là encore, les techniques de phishing et de social engineering de plus en plus sophistiquées ont déjà démontré à plusieurs reprises qu’il était possible pour les pirates de parvenir à obtenir des codes de confirmation à usage unique, communiqués par les internautes eux-mêmes.

Les tentatives de phishing de plus en plus sophistiquée parviennent même à soustraire les codes OTP aux internautes © tete_escape / Shutterstock

Adieu mots de passe, bonjour passkeys ?

Sommes-nous alors dans une impasse ? Pas tout à fait. Les mots de passe touchent certainement à leurs limites, mais il existe de nouvelles manières de protéger l’accès à ses comptes en ligne grâce aux passkeys. Ces clés d’accès chiffrées de bout en bout sont de plus en plus poussées par l’alliance FIDO, qui a récemment annoncé travailler sur un cadre technique visant à standardiser la technologie, et à permettre leur portabilité entre plusieurs appareils.

L’idée est ici de verrouiller ses services en ligne non plus à l’aide d’un mot de passe facile à craquer, mais à l’aide d’une paire de clés privée/publique, la première stockée sur les appareils des internautes, la seconde conservée par le site web ou l’application. Dans cette configuration, il est, en théorie, impossible de compromettre à distance la sécurité du verrouillage, à plus forte raison si les passkeys sont associées à l’authentification biométrique ou à la reconnaissance faciale.

Aujourd’hui, de plus en plus de fournisseurs de services intègrent la prise en charge des passkeys, Apple, Microsoft et Google les premiers. Lorsque l’option vous est proposée, peut-être auriez-vous alors intérêt à reléguer au placard vos traditionnels mots de passe, surtout s’ils font partie du malheureux top susmentionné.

Source : NordPass avec NordStellar

À découvrir

Meilleur gestionnaire de mots de passe, le comparatif en 2024

18 novembre 2024 à 15h14

Comparatifs services

Par Chloé Claessens

Spécialiste cybersécurité

Débarquée chez Clubic en 2020 pour parler logiciels, applications et systèmes d’exploitation, je me suis peu à peu spécialisée dans le domaine de la cybersécurité. J’écris essentiellement sur les VPN, mais je couvre aussi les sujets liés à la sécurité des systèmes et des réseaux.

Articles de Chloé Claessens

Piratage

Logiciels & services

Actualités mots de passe / authentification

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

jvachez

Faut voir aussi le contexte, beaucoup de mot de passe sont exigés pour tout est n’importe quoi et contrairement à la logique les sites qui demandent les mots de passe les plus simples sont les sites bancaires mais ils compensent avec des blocages de compte après 3 erreurs et un clavier virtuel où les chiffres ne sont jamais à la même place c’est vrai.

Il y a des sites sans intérêt qui exigent minuscules, majuscules, caractères spéciaux, 10 caractères et de l’autre la caisse d’Epargne où c’est mettez 8 chiffres.

Pour les entreprises les mots de passe sont parfois plus complexes mais pas forcément plus sécurisés car ils sont partagés pour éviter les problèmes de personnel absent ce qui peut être dramatique pour reprendre le contrôle si c’est un admin.

stevensf

Une chose que j’aimerai savoir… Normalement tous nos mots de passe sont cryptés et impossible à lire par un service tier. Donc comment font t’ils pour connaitre les mdp les plus utilisés si normalement ils ne peuvent les connaitre…

jvachez

Pour les mots de passe simples toutes les valeurs cryptées sont connues. Il y en a aussi qui gèrent une table de correspondance pour pouvoir aider les utilisateurs.

Procyon92

Il y a un biais dans ce genre d’analyses. Elles sont faites sur les données qui ont fuité. Donc les meilleurs mots de passe ne sont pas sur i am been pawned ou consort. Les mots de passe sont chiffrés / hashed avec une graine (normalement) donc un même mot apparaîtra de façon différente dans les tables d’administration donc difficile de faire des stats aussi sur les réutilisation sur un même site et impossible d’un site à l’autre.

MattS32

Ils se basent sur des bases de données de mots de passe fuités. Ce qui crée un biais énorme : les mots de passe simples sont surreprésentés par rapport aux mots de passe complexe dans ces bases de données, car justement dans la plupart des cas ce qui est volé c’est une base de mots de passe hashés et salés, et donc il faut faire une attaque par dictionnaire ou brute force pour trouver les mots de passe correspondants… attaque qui du coup ne va trouver que les mots de passe simples et courant présents dans le dictionnaire utilisé (ou très courts en cas de brute force).

Lister les mots de passe les plus courants n’a en fait à peu près aucun intérêt, si ce n’est permettre à NordPass de faire parler de lui en publiant l’étude.

Ce qui serait bien plus intéressant, c’est d’étudier le ratio de hashes cassés par rapport au total des hashes qui ont fuité, et voir si ce ratio a tendance à baisser avec le temps.

Non, pas si le site implémente correctement les bonnes pratiques de sécurité : on ne fait plus de hash sans sel, et on évite même de les faire avec un sel statique.

Doss

Surprennent qu’en France azerty soit au même niveau que qwerty.
Et les marseillais

Zastava

Bonjour
Ce genre de statistiques bidons ne vaut rien.
En France , il y aurait donc encore 100 000 mots de passe à la noix. Mais sur combien de services ?
Par exemple, je possède 500 mots de passe. Bien sur géré par un gestionnaire.
Si sur un site à la noix, j’ai mis 1233456 alors il pourrait appraitre dans une statistique. MAis ce n’est qu’un mot de passe sur 500. Et pour un site à la noix. Donc Fido et ses passkeys ils peuvent se les garder.
Faire ch… des centaines de millions de gens parce que quelques millions, au mieux et encore on ne sait pas dans quelle circonstance, ont UN mot de passe facile, c’est insupportable.
C’est comme les propositions de google Microsoft apple de s’identifier avec UN mot de passe pour tout. La vraiment très mauvaise idée.
D’une part, je n’ai pas besoin que des abrutis cupides se mêlent de mes affaires et me proposent des systèmes à la c… et avec lesquels il comptent bien gagner quelque chose mais en plus il y a des gestionnaires de mots de passe qui font très bien le boulot.

Bidouille

Ce genre d’article semble être un marronnier qui revient régulièrement. Mais bon, il faut bien que les pigistes mangent.

jvachez

Surement parce que Paris et Lyon c’est trop court.

Emmanuel_ANGULO1

D’accord, donc les Français qui cherchent un mot de passe facile, utilisent « qwerty » ??