C’est par un tweet partagé dans l’après-midi du 15 novembre que la nouvelle édition du classement des « mots de passe les plus utilisés » a été annoncée. Cette année encore, NordPass — un gestionnaire de mots de passe — s’est associé à des spécialistes de la sécurité informatique pour analyser une vaste base de données d’un poids de plusieurs téraoctets.
Cette base a été constituée à partir « de diverses sources accessibles au public, y compris sur le dark web », explique NordPass. La filiale de Nord Security, qui édite également un célèbre service de VPN (NordVPN), précise que « ces mots de passe ont été dérobés par divers logiciels malveillants, tels que Redline, Vidar, Taurus, Raccoon, Azorult et Cryptbot. »
Pour la France, le top 20 est inscrit dans le tableau ci-après. Ils sont classés par leur degré d’occurrence (« décompte ») dans la base analysée. Le mot de passe est renseigné à chaque fois, avec une hypothèse du temps qu’il faudrait à un assaillant pour le trouver en testant diverses combinaisons. La valeur inscrite est donc estimée.
| Classement | Mot de Passe | Temps nécessaire pour le déchiffrer | Décompte |
|---|---|---|---|
| 1 | 123456 | < 1 seconde | 86 656 |
| 2 | 123456789 | < 1 seconde | 38 771 |
| 3 | azerty | < 1 seconde | 36 579 |
| 4 | admin | < 1 seconde | 17 388 |
| 5 | 1234561 | 1 seconde | 14 994 |
| 6 | azertyuiop | 1 minute | 13 441 |
| 7 | loulou | < 1 seconde | 11 330 |
| 8 | 000000 | < 1 seconde | 11 169 |
| 9 | doudou | < 1 seconde | 10 204 |
| 10 | password | < 1 seconde | 9 552 |
| 11 | marseille | 1 jour | 9 085 |
| 12 | motdepasse | 14 heures | 7 457 |
| 13 | 12345678 | < 1 seconde | 7 446 |
| 14 | chouchou | < 1 seconde | 7 125 |
| 15 | soleil | < 1 seconde | 6 995 |
| 16 | cheval | 2 minutes | 6 919 |
| 17 | 12345 | < 1 seconde | 6 822 |
| 18 | Password | < 1 seconde | 6 820 |
| 19 | bonjour | < 1 seconde | 6 741 |
| 20 | 1234567891 | < 1 seconde | 6 614 |
Des tops qui n’évoluent pas
Cette liste vous rappelle quelque chose ? C’est normal : elle ressemble presque trait pour trait à celle partagée par Nordpass en 2019. Ce sont les mêmes mots de passe que l’on retrouve dans ces classements successifs (2019 à 2022), avec une étonnante constance. Comme si rien ne changeait, malgré les appels innombrables à plus de sérieux quant à son hygiène numérique.
NordPass ne donne pas accès à son étude en libre accès — il faut les contacter pour la demander, ce que nous avons fait. Nous avons également sollicité des précisions au gestionnaire, car le top ne bougeant que très peu d’une année sur l’autre (en tout cas pour les données liées à la France), ce qui questionne sur la manière dont la base de données est constituée.
La question centrale consiste à savoir si la base utilisée pour l’édition 2023 du top reprend en partie ou en totalité des fuites déjà étudiées dans d’autres éditions des tops de NordPass — ou si elle utilise seulement des incidents récents, survenus depuis la dernière édition (2022). De la réponse à ces questions peut découler plusieurs remarques.
Si c’est le même agrégat qui est toujours utilisé, l’évolution du top d’une année à l’autre va être faible, ou inexistante, même en l’étoffant progressivement de nouvelles fuites. En 2021, la base utilisée pour l’étude pesait 4 To. Celle de 2023 est annoncée à 4,3 To (ou 6,6 To — NordPass n’est pas clair), ce qui suggère peu d’évolution.
Autre limite : que l’archive change ou non, cela ne dit rien de l’attitude des internautes après un incident de sécurité. Si NordPass voit une fuite et intègre les mots de passe liés, l’étude ne peut pas savoir si les codes ont été renouvelés depuis, et pour quelque chose de plus solide. Elle ne peut pas non plus le refléter. Cela peut nourrir l’impression que rien ne change, donc.
Il y a de meilleures pratiques à avoir
NordPass, naturellement, prêche pour sa paroisse. C’est pour la société une bonne occasion de mettre en avant sa solution pour conserver des mots de passe et adopter de meilleures pratiques d’hygiène numérique. Assurément, il y a de vrais mérites à utiliser ce type d’outils — plutôt que de compter sur sa mémoire ou sur des post-its.
Passer à un gestionnaire de mots de passe est un bon moyen d’élever son « niveau de jeu » en matière de sécurité : tout comme changer les mots de passe par défaut, activer l’authentification à deux facteurs dès que c’est possible et opter pour des mots de passe uniques et assez longs — plus encore que la complexité elle-même, la taille compte énormément.
Créer un bon mot de passe nécessite de suivre quelques règles — comme celles du guide de la Cnil. Cela semble rebutant, mais les gestionnaires sont là pour délester les internautes de la corvée de la mémorisation. À l’avenir, néanmoins, ces soucis s’envoleront peut-être une bonne fois pour toutes. La raison ? Les passkeys sont bien partis pour révolutionner les mots de passe.
Retrouvez sur Numerama le comparateur des meilleurs gestionnaires de mots de passe au sein du hub sur la sécurité numérique.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
