Découvrez les mots de passe les plus populaires, vous n'allez pas en croire vos yeux

Alexandre Boero
Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.
Publié le 11 décembre 2019 à 09h37
Fotolia mot de passe password
© Fotolia

Les appels répétés au renforcement de ses mots de passe émis ces dernières années n'ont pas suffi. On retrouve en effet les mêmes « hits » d'une année à l'autre.

Le mot de passe demeure un peu, par définition, la première barrière de sa protection numérique. Parfois, il reste même l'unique protection, une preuve qu'il ne faut surtout pas le négliger. Pourtant, de nombreux internautes et mobinautes utilisent toujours des mots de passe d'une évidence décapante, ce qui est une aubaine pour les cybercriminels qui procèdent à des attaques par dictionnaire et déchiffrent les mots de passe d'une base de données regroupant les combinaisons les plus courantes et les plus faciles à décrypter.

Des classiques qui ont la peau dure

Ces deux dernières, on retrouve plus ou moins le même top 10 des mots de passe les plus populaires, listés par la société SplashData. En 2017, « 123456 » (l'indémodable !), « Password » et « 12345678 » occupaient les trois premières places, devançant « Qwerty », « 12345 », « 123456789 », « Letmein », « 1234567 », « Football » et « Iloveyou. »


Signe que les mauvaises habitudes ont la peau dure, ce classement était quasiment le même en 2018. Le podium était occupé par « 123456 », « Password » et « 123456789 ». Puis suivent « 12345678 », « 12345 », « 111111 », « 1234567 », « sunshine », « qwerty » et « iloveyou. » Nul doute que le top de 2019 rassemblera fortement au précédent.

« Les cybercriminels et leurs outils ne connaissent pas de barrière linguistique »

Hors du top 10, on retrouve également des suites de lettres et de chiffres communs comme « abc123 » ou « qwerty123. » Benoit Grunemwald, expert en cybersécurité chez ESET France, nous rappelle que ces listes doivent servir de base à l'élaboration de mots de passe plus sécuritaires. « Éviter de choisir des mots que ce soit des noms communs, noms propres, verbes... et quelle que soit votre langue », fait partie de ses recommandations. « Évidemment, les internautes anglo-saxons sont plus nombreux, mais les cybercriminels et leurs outils ne connaissent pas de barrière linguistique quand vient le temps de déchiffrer les mots de passe ».


Les séries de caractères facilement déchiffrables sont aussi à bannir, tout comme les mots de passe qui auraient potentiellement pu être identifiés dans une fuite de données. La règle d'or reste d'utiliser un mot de passe différent pour chaque site consulté, chaque service sollicité ou chaque application utilisée.

Alexandre Boero
Journaliste-reporter, responsable de l'actu
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (10)
LeToi

C’est quoi « letmein » ?

alexmirage

la traduction de laisse moi entrer :slight_smile:

soaf78

Let me in
Laisse moi rentrer

serged

« Let me in » : « Laisse moi entrer » en Toubon.

GRITI

Petite question: comment connaissent-ils les mots de passe? Ils les demandent aux gens qui leur donnent (j’en doute mais bon)? Ou alors tous les mots de passe sont stockés en clair sur les sites et les admin des sites peuvent les voir? Je doute aussi de cette réponse bien que cela doit arriver de temps en temps…

plinn

Ben non. On les connaît à travers les nombreuses fuites de bases de données de ces dernières années avec bien sur identifiants et mots de passe.
Voir le site « Have I been pwnd ».

GRITI

Mouais. Donc il y a eu encore beaucoup de fuite de données en 2019… Et les bases de données sont donc en clair? Ce serait bien de savoir le taux d’utilisation que représentent ces mots de passe parmi tous ceux qui ont fuité.

notolik

Du coup je suis tranquille avec mon « azerty » !?!

:laughing:

notolik

J’imagine que certains sites ne font aucun effort pour protéger leurs utilisateurs et que c’est le cas. :woozy_face:

C’est pourtant ultra simple de chiffrer les mots de passe avec un algo de hashing (exemple avec « azerty ») :

  • MD5 = 0xAB4F63F9AC65152575886860DDE480A1
  • SHA1 = 0x9CF95DACD226DCF43DA376CDB6CBBA7035218921
  • SHA2_256 = 0xF2D81A260DEA8A100DD517984E53C56A7523D96942A834B9CDC249BD4E8C7AA9

Le résultat du hash est stocké en base. Au login, il suffit de rehash le mot de passe soumis (avec le même algo) et le comparer avec celui qui est stocké.
Avec ce principe un admin ne peut pas « voir » ton mot de passe, ni le déduire/reconstruire à partir de son hash (sauf MD5, SHA qui sont trop « triviaux »).

Mais soyez certain qu’un admin n’a pas besoin de connaitre ton mot de passe pour usurper ton identité. Au pire il peut même faire en sorte de capter ton mot de passe en clair derrière le SSL…

Ca c’est pour les mot de passe, mais il est aussi possible de :

  • Crypter toute ou partie d’une base pour éviter les vols massifs.
    et/ou
  • Crypter individuellement une à une les données avec des clés de cryptages différentes.

C’est par exemple ce qui se passe quand tu cryptes une chaine avec Slack (entre autres). Les messages de toutes les chaines sont stockées au même « endroit » (ensemble), pourtant elles ne sont pas cryptées avec la même clé (voir pas crypté du tout pour certaines).

Mais dans tous les cas, un admin peut tout faire en rajoutant du code afin de capter à la saisie les clés individuelles…

Par principe, un admin peut tout faire, même les choses qui lui sont normalement interdites mais c’est un autre débat.

GRITI

Merci pour tes explications. Il faudra que je me penche un peu sur le sujet un jour quand même…

Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles