"Loulou", "azerty" ou "12345" : nos mots de passe ne sont toujours pas assez sécurisés, selon une étude
Par Xavier Demagny%22%20xlink%3Ahref%3D%22data%3Aimage%2Fjpeg%3Bcharset%3Dutf-8%3Bbase64%2C%2F9j%2F2wBDACgcHiMeGSgjISMtKygwPGRBPDc3PHtYXUlkkYCZlo%2BAjIqgtObDoKrarYqMyP%2FL2u71%2F%2F%2F%2Fm8H%2F%2F%2F%2F6%2F%2Bb9%2F%2Fj%2F2wBDASstLTw1PHZBQXb4pYyl%2BPj4%2BPj4%2BPj4%2BPj4%2BPj4%2BPj4%2BPj4%2BPj4%2BPj4%2BPj4%2BPj4%2BPj4%2BPj4%2BPj4%2BPj4%2BPj4%2BPj%2FwAARCAAXACoDASIAAhEBAxEB%2F8QAGQABAQEAAwAAAAAAAAAAAAAAAwACAQQF%2F8QAFxABAQEBAAAAAAAAAAAAAAAAAAECEf%2FEABgBAQEAAwAAAAAAAAAAAAAAAAEAAgME%2F8QAFREBAQAAAAAAAAAAAAAAAAAAAAH%2F2gAMAwEAAhEDEQA%2FANzLXGpHPG5yQdg9w9gtxF1twfDbGi9PiSDFmi2kiDYkiX%2F%2F2Q%3D%3D%22%20%2F%3E%3C%2Fsvg%3E)
"123456", "password", "azerty"... Nos mots de passe ne sont toujours pas assez sécurisés, indique une étude de l'entreprise spécialisée Nordpass, qui dresse un classement des plus communs dans le monde et par pays.
On est loin de la barrière infranchissable... En 2023, le mot de passe le plus utilisé par les internautes dans le monde est encore "12346", selon la cinquième étude annuelle de NordPass sur les mots de passe les plus courants. L'entreprise, qui propose un service de gestion des mots de passe, a réalisé un classement pour 35 pays, avec l'aide de "chercheurs indépendants en cybersécurité", sur d'énormes bases de données d'identifiants et mots de passe de comptes piratés ou volés, accessibles librement sur le darknet ou des plateformes de hackers.
Sans grande surprise, donc, on retrouve dans la liste mondiale comme dans la liste française des suites de caractères peu originales et absolument pas sécurisées ("123456" ; "123456789" ; "azerty" ; "azertyuiop", première ligne du clavier d'ordinateur francophone ; "000000"), mais aussi quelques classiques "password", "admin", "motdepasse" ou "bonjour". Et des choix plus personnels : "Loulou" et "Doudou" sont en bonne position, tout comme "Marseille" à la 11e place ou "soleil" et "cheval".
Déchiffrés en moins d'une seconde
Les mots de passe en rapport avec le football sont aussi courants : "benfica" au Portugal, "juventus" en Italie, "barcelona" en Espagne, "liverpool", "arsenal", ou "chelsea" au Royaume-Uni. L'étude 2023 de Nordpass indique aussi grâce à une base de données qui mentionne le service concerné pour chaque identifiant, que les services de streaming sont ceux sur lesquels les comptes sont les moins sécurisés avec des mots de passe se rapportant au site en question. Exemples : "netflix2020" pour son compte Netflix, ou "disney123" pour son compte Disney+. Sans doute une conséquence des comptes partagés et la nécessité d'avoir des mots de passe simples à retenir.
"Sans surprise, les gens accordent plus d'attention aux comptes qu'ils associent directement à l'argent. C'est pourquoi ils utilisent les mots de passe les plus robustes pour leurs services financiers", indique Nordpass, qui précise que "pas moins de 70 % des mots de passe figurant sur la liste mondiale de cette année peuvent être déchiffrés en moins d'une seconde".
Mots de passe longs, double authentification
Pour améliorer la sécurité de ses mots de passe, plusieurs conseils simples sont à appliquer :
- Ne pas utiliser le même mot de passe pour les services les plus sensibles (e-mails, réseaux sociaux, comptes en banque ou impôts) car le piratage d'un compte peut donner accès à tous les autres ;
- Utiliser des mots de passe longs et complexes, d'une vingtaine de caractères si possible, avec des majuscules, minuscules, chiffres et caractères spéciaux. Surtout, banir les mots de passe type "Azerty12345" et, pour trouver l'inspiration, préférez des phrases de passe, comme des paroles de chansons ;
- Rester vigilant, notamment aux attaques par phishing ou aux logiciels malveillants et, régulièrement, vérifier si vous avez été victime d'une fuite de données, sur des sites comme "Have I Been Pwned".
Enfin, cela pose la question de l'avenir des mots de passe, très problématiques sur le plan de la cybersécurité surtout lorsqu'ils ne sont pas assez robustes, et de la nécessité de revoir les méthodes d'authentification. Il existe plusieurs pistes intéressantes, dont la "double authentification", qui implique de valider la connexion par un autre moyen (SMS, application mobile).
Les "passkeys", fin des mots de passe ?
L'arrivée progressive des "passkeys" est sans aucun doute la solution de demain. Ces clés d'accès, en français, utilisent l'identifiant (adresse e-mail par exemple) et remplacent le mot de passe par une validation via les données biométriques, par exemple, d'un téléphone (empreinte digitale, reconnaissance faciale) ou un code PIN. Ainsi, plus besoin de se casser la tête pour chercher des combinaisons robustes, tout se fait quasi automatiquement.
Néanmoins, ce changement ne se fera pas du jour au lendemain et la question des mots de passe sécurisés reste d'actualité. Si la démarche de Nordpress n'est pas complètement innocente (et vise à nous inciter à utiliser ses services), elle n'en est pas moins intéressante et doit nous obliger à prendre conscience qu'une fuite de données, selon son ampleur ou le service concerné, peut avoir des conséquences dramatiques pour vos informations privées ou confidentielles.
Références