Le classement des mots de passe les plus populaires en 2021 montre encore une fois qu'il n'y a parfois aucun effort pour créer un code convenable.

On s’en doutait un peu avant d’ouvrir le communiqué annonçant la liste des 200 mots de passe les utilisés en France en 2021. On allait certainement avoir des palpitations en lisant les premières entrées. Ça n’a pas manqué : la liste concoctée par NordPass sur la base des travaux de chercheurs indépendants ressemble à un musée des horreurs où les fameux 123456 et azerty côtoient des « loulou » et marseille.

Qui l’eut cru ? Les pires mots de passe en France sont bien trop courts et bien trop faibles

Comme à chaque fois, ces mots de passe suivent des combinaisons bien trop courtes et trop faibles pour résister à des attaques informatiques ou même à un peu de jugeote si l’internaute pris pour cible est connu de son agresseur. En effet, outre des suites trop courantes (12345, 000000, azertyuiop, 123123, etc.), on trouve beaucoup de prénoms dans cette édition 2021.

Classement Mot de passe Décompte Temps nécessaire pour le trouver
1 123456 2 168 460
< 1 seconde
2 123456789 897 157
< 1 seconde
3 azerty 691 935
< 1 seconde
4 12345 646 333
< 1 seconde
5 000000 246 361
< 1 seconde
6 tiffany 244 320 17 minutes
7 qwerty 240 564
< 1 seconde
8 1234561 212 793 1 seconde
9 loulou 211 539
< 1 seconde
10 marseille 211 258 1 jour
11 doudou 207 420
< 1 seconde
12 azertyuiop 187 294 1 minute
13 soleil 155 805
< 1 seconde
14 12345678 155 009
< 1 seconde
15 chouchou 138 732
< 1 seconde
16 password 131 081
< 1 seconde
17 123123 130 138
< 1 seconde
18 111111 127 900
< 1 seconde
19 1234567 124 735
< 1 seconde
20 nicolas 118 307 3 secondes

Le reste du top est à l’avenant : NordPass fournit sur son site web dédié un tableau qui regroupe les 200 occurrences les plus utilisées dans les mots de passe en France et on trouve énormément de prénoms, des expressions courantes et noms communs (bonjour, jetaime, coucou, maison, princesse, football). Dans l’ensemble, ce n’est vraiment pas fameux.

On trouve toutefois parfois des mots de passe un peu plus inattendus, comme lincogo1, Bajaonel12, x4ivygA51F et yuantuo2012. Leur apparente complexité reste relative : il faut trois heures pour trouver le premier, 12 jours pour le deuxième et le troisième et un jour pour le quatrième. Le plus solide de la liste est marseille13, qui a une résistance annoncée de quatre mois. Il est à la 199e place.

La liste comporte également une étrangeté : le mot de passe badoo est recensé à la 57e place, avec une solidité estimée à 10 secondes. Au-delà de sa durée de vie extrêmement brève, il faut relever que badoo est aussi le nom d’un service de rencontres, ce qui n’est pas bon signe : cela pourrait suggérer que des membres présents sur ce site s’en servent peut-être pour leur compte.

4 To de données analysées

Globalement, la liste des mots de passe les plus utilisés en France — et qui est vraiment la liste des pires mots de passe — est semblable à d’autres éditions, qu’elles concernent d’autres pays, d’autres années ou d’autres entreprises proposant ce genre de compilation. Ce qui finit par nourrir une certaine résignation : après tout, pourquoi continuer à prêcher dans le désert si rien ne change ?

Dans le cas de NordPass, ces listes ont été concoctées à partir de «  recherches menées sur 2021 ». Elles ont mobilisé des chercheurs indépendants spécialisés dans la recherche d’incidents de cybersécurité, précise l’entreprise, sur la base d’une base de données qui a agrégé 4 To de mots de passe — ce qui est considérable pour un ensemble ne contenant que des successions de mots de passe.

mot de passe facebook
La sécurité d’un compte ne devrait jamais être prise à la légère. // Source : Facebook

Ce type de travaux est aussi une occasion pour NordPass de mettre en avant son produit, un gestionnaire de mots de passe, qui est un programme servant de coffre-fort pour y stocker tous ces codes. De cette façon, il n’est pas utile de les retenir (sauf celui qui ouvre le coffre-fort), ce qui permet d’en créer des plus complexes. NordPass met aussi en avant son générateur de mots de passe à cette occasion.

Le calcul permettant d’estimer le temps nécessaire pour trouver un mot de passe se base sur différents paramètres, comme sa taille, la variété éventuelle des caractères (lettres, chiffres, symboles), la disposition des caractères, mais aussi l’emploi éventuel de dictionnaires pour passer en revue des noms communs, mais aussi des combinaisons trop courantes. Et, bien sûr, la puissance des ordinateurs.

Comment créer un bon mot de passe ?

Pour vérifier sans risque la solidité de son mot de passe, c’est-à-dire sans le taper où que ce soit, l’Agence nationale de la sécurité des systèmes d’information propose un outil qui permet d’estimer la qualité de ses codes en donnant des indications sur la manière dont ils sont structurés. Cela donne une idée générale si le mot de passe est très faible, faible, moyen ou fort.

Face à la persistance de mots de passe trop faibles, et parce que les pratiques individuelles ne semblent pas toujours évoluer favorablement, peut-être que le salut pourrait venir des sites et des applications. Plusieurs leviers sont possibles : bannir les mots de passe trop courants, demander un nombre minimal de caractères et de variété, empêcher certaines combinaisons, imposer l’authentification forte.

Il existe plusieurs recommandations pour créer un bon mot de passe, à l’image du guide la Cnil dans ce domaine. C’est évidemment une contrainte, car cela nécessite de mémoriser des codes compliqués, mais cela en vaut la peine. C’est pour cela qu’il peut être judicieux de passer par un gestionnaire pour avoir une aide. Ce n’est pas parfait, mais c’est toujours mieux que d’en utiliser qu’un seul ou de les noter sur des post-it.

Partager sur les réseaux sociaux

La suite en vidéo