Les mots de passe les plus courants sont aussi les pires du genre. C’est littéralement la liste de ce qu’il ne faut pas choisir.

C’est par un tweet partagé dans l’après-midi du 15 novembre que la nouvelle édition du classement des « mots de passe les plus utilisés » a été annoncée. Cette année encore, NordPass — un gestionnaire de mots de passe — s’est associé à des spécialistes de la sécurité informatique pour analyser une vaste base de données d’un poids de plusieurs téraoctets.

Cette base a été constituée à partir « de diverses sources accessibles au public, y compris sur le dark web », explique NordPass. La filiale de Nord Security, qui édite également un célèbre service de VPN (NordVPN), précise que « ces mots de passe ont été dérobés par divers logiciels malveillants, tels que Redline, Vidar, Taurus, Raccoon, Azorult et Cryptbot. »

Pour la France, le top 20 est inscrit dans le tableau ci-après. Ils sont classés par leur degré d’occurrence (« décompte ») dans la base analysée. Le mot de passe est renseigné à chaque fois, avec une hypothèse du temps qu’il faudrait à un assaillant pour le trouver en testant diverses combinaisons. La valeur inscrite est donc estimée.

ClassementMot de PasseTemps nécessaire pour le déchiffrerDécompte
1123456< 1 seconde86 656
2123456789< 1 seconde38 771
3azerty< 1 seconde36 579
4admin< 1 seconde17 388
512345611 seconde14 994
6azertyuiop1 minute13 441
7loulou< 1 seconde11 330
8000000< 1 seconde11 169
9doudou< 1 seconde10 204
10password< 1 seconde9 552
11marseille1 jour9 085
12motdepasse14 heures7 457
1312345678< 1 seconde7 446
14chouchou< 1 seconde7 125
15soleil< 1 seconde6 995
16cheval2 minutes6 919
1712345< 1 seconde6 822
18Password< 1 seconde6 820
19bonjour< 1 seconde6 741
201234567891< 1 seconde6 614

Des tops qui n’évoluent pas

Cette liste vous rappelle quelque chose ? C’est normal : elle ressemble presque trait pour trait à celle partagée par Nordpass en 2019. Ce sont les mêmes mots de passe que l’on retrouve dans ces classements successifs (2019 à 2022), avec une étonnante constance. Comme si rien ne changeait, malgré les appels innombrables à plus de sérieux quant à son hygiène numérique.

NordPass ne donne pas accès à son étude en libre accès — il faut les contacter pour la demander, ce que nous avons fait. Nous avons également sollicité des précisions au gestionnaire, car le top ne bougeant que très peu d’une année sur l’autre (en tout cas pour les données liées à la France), ce qui questionne sur la manière dont la base de données est constituée.

La question centrale consiste à savoir si la base utilisée pour l’édition 2023 du top reprend en partie ou en totalité des fuites déjà étudiées dans d’autres éditions des tops de NordPass — ou si elle utilise seulement des incidents récents, survenus depuis la dernière édition (2022). De la réponse à ces questions peut découler plusieurs remarques.

Des mots de passe sur un ordinateur. // Source : Léa Hamadi pour Numerama.
Voilà ce qu’il ne faut pas faire. // Source : Léa Hamadi pour Numerama.

Si c’est le même agrégat qui est toujours utilisé, l’évolution du top d’une année à l’autre va être faible, ou inexistante, même en l’étoffant progressivement de nouvelles fuites. En 2021, la base utilisée pour l’étude pesait 4 To. Celle de 2023 est annoncée à 4,3 To (ou 6,6 To — NordPass n’est pas clair), ce qui suggère peu d’évolution.

Autre limite : que l’archive change ou non, cela ne dit rien de l’attitude des internautes après un incident de sécurité. Si NordPass voit une fuite et intègre les mots de passe liés, l’étude ne peut pas savoir si les codes ont été renouvelés depuis, et pour quelque chose de plus solide. Elle ne peut pas non plus le refléter. Cela peut nourrir l’impression que rien ne change, donc.

Il y a de meilleures pratiques à avoir

NordPass, naturellement, prêche pour sa paroisse. C’est pour la société une bonne occasion de mettre en avant sa solution pour conserver des mots de passe et adopter de meilleures pratiques d’hygiène numérique. Assurément, il y a de vrais mérites à utiliser ce type d’outils — plutôt que de compter sur sa mémoire ou sur des post-its.

Passer à un gestionnaire de mots de passe est un bon moyen d’élever son « niveau de jeu » en matière de sécurité : tout comme changer les mots de passe par défaut, activer l’authentification à deux facteurs dès que c’est possible et opter pour des mots de passe uniques et assez longs — plus encore que la complexité elle-même, la taille compte énormément.

Créer un bon mot de passe nécessite de suivre quelques règles — comme celles du guide de la Cnil. Cela semble rebutant, mais les gestionnaires sont là pour délester les internautes de la corvée de la mémorisation. À l’avenir, néanmoins, ces soucis s’envoleront peut-être une bonne fois pour toutes. La raison ? Les passkeys sont bien partis pour révolutionner les mots de passe.

Retrouvez sur Numerama le comparateur des meilleurs gestionnaires de mots de passe au sein du hub sur la sécurité numérique.

une comparateur meilleur gestionnaire mdp numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !