C’est par un tweet partagé dans l’après-midi du 15 novembre que la nouvelle édition du classement des « mots de passe les plus utilisés » a été annoncée. Cette année encore, NordPass — un gestionnaire de mots de passe — s’est associé à des spécialistes de la sécurité informatique pour analyser une vaste base de données d’un poids de plusieurs téraoctets.
Cette base a été constituée à partir « de diverses sources accessibles au public, y compris sur le dark web », explique NordPass. La filiale de Nord Security, qui édite également un célèbre service de VPN (NordVPN), précise que « ces mots de passe ont été dérobés par divers logiciels malveillants, tels que Redline, Vidar, Taurus, Raccoon, Azorult et Cryptbot. »
Pour la France, le top 20 est inscrit dans le tableau ci-après. Ils sont classés par leur degré d’occurrence (« décompte ») dans la base analysée. Le mot de passe est renseigné à chaque fois, avec une hypothèse du temps qu’il faudrait à un assaillant pour le trouver en testant diverses combinaisons. La valeur inscrite est donc estimée.
| Classement | Mot de Passe | Temps nécessaire pour le déchiffrer | Décompte |
|---|---|---|---|
| 1 | 123456 | < 1 seconde | 86 656 |
| 2 | 123456789 | < 1 seconde | 38 771 |
| 3 | azerty | < 1 seconde | 36 579 |
| 4 | admin | < 1 seconde | 17 388 |
| 5 | 1234561 | 1 seconde | 14 994 |
| 6 | azertyuiop | 1 minute | 13 441 |
| 7 | loulou | < 1 seconde | 11 330 |
| 8 | 000000 | < 1 seconde | 11 169 |
| 9 | doudou | < 1 seconde | 10 204 |
| 10 | password | < 1 seconde | 9 552 |
| 11 | marseille | 1 jour | 9 085 |
| 12 | motdepasse | 14 heures | 7 457 |
| 13 | 12345678 | < 1 seconde | 7 446 |
| 14 | chouchou | < 1 seconde | 7 125 |
| 15 | soleil | < 1 seconde | 6 995 |
| 16 | cheval | 2 minutes | 6 919 |
| 17 | 12345 | < 1 seconde | 6 822 |
| 18 | Password | < 1 seconde | 6 820 |
| 19 | bonjour | < 1 seconde | 6 741 |
| 20 | 1234567891 | < 1 seconde | 6 614 |
Des tops qui n’évoluent pas
Cette liste vous rappelle quelque chose ? C’est normal : elle ressemble presque trait pour trait à celle partagée par Nordpass en 2019. Ce sont les mêmes mots de passe que l’on retrouve dans ces classements successifs (2019 à 2022), avec une étonnante constance. Comme si rien ne changeait, malgré les appels innombrables à plus de sérieux quant à son hygiène numérique.
NordPass ne donne pas accès à son étude en libre accès — il faut les contacter pour la demander, ce que nous avons fait. Nous avons également sollicité des précisions au gestionnaire, car le top ne bougeant que très peu d’une année sur l’autre (en tout cas pour les données liées à la France), ce qui questionne sur la manière dont la base de données est constituée.
La question centrale consiste à savoir si la base utilisée pour l’édition 2023 du top reprend en partie ou en totalité des fuites déjà étudiées dans d’autres éditions des tops de NordPass — ou si elle utilise seulement des incidents récents, survenus depuis la dernière édition (2022). De la réponse à ces questions peut découler plusieurs remarques.
Si c’est le même agrégat qui est toujours utilisé, l’évolution du top d’une année à l’autre va être faible, ou inexistante, même en l’étoffant progressivement de nouvelles fuites. En 2021, la base utilisée pour l’étude pesait 4 To. Celle de 2023 est annoncée à 4,3 To (ou 6,6 To — NordPass n’est pas clair), ce qui suggère peu d’évolution.
Autre limite : que l’archive change ou non, cela ne dit rien de l’attitude des internautes après un incident de sécurité. Si NordPass voit une fuite et intègre les mots de passe liés, l’étude ne peut pas savoir si les codes ont été renouvelés depuis, et pour quelque chose de plus solide. Elle ne peut pas non plus le refléter. Cela peut nourrir l’impression que rien ne change, donc.
Il y a de meilleures pratiques à avoir
NordPass, naturellement, prêche pour sa paroisse. C’est pour la société une bonne occasion de mettre en avant sa solution pour conserver des mots de passe et adopter de meilleures pratiques d’hygiène numérique. Assurément, il y a de vrais mérites à utiliser ce type d’outils — plutôt que de compter sur sa mémoire ou sur des post-its.
Passer à un gestionnaire de mots de passe est un bon moyen d’élever son « niveau de jeu » en matière de sécurité : tout comme changer les mots de passe par défaut, activer l’authentification à deux facteurs dès que c’est possible et opter pour des mots de passe uniques et assez longs — plus encore que la complexité elle-même, la taille compte énormément.
Créer un bon mot de passe nécessite de suivre quelques règles — comme celles du guide de la Cnil. Cela semble rebutant, mais les gestionnaires sont là pour délester les internautes de la corvée de la mémorisation. À l’avenir, néanmoins, ces soucis s’envoleront peut-être une bonne fois pour toutes. La raison ? Les passkeys sont bien partis pour révolutionner les mots de passe.
Retrouvez sur Numerama le comparateur des meilleurs gestionnaires de mots de passe au sein du hub sur la sécurité numérique.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
