Le top 20 des pires mots passe en France donne envie de s'arracher les cheveux
On s'en doutait un peu avant d'ouvrir le communiqué annonçant la liste des 200 mots de passe les utilisés en France en 2021.
Qui l'eut cru ? Les pires mots de passe en France sont bien trop courts et bien trop faibles
Comme à chaque fois, ces mots de passe suivent des combinaisons bien trop courtes et trop faibles pour résister à des attaques informatiques ou même à un peu de jugeote si l'internaute pris pour cible est connu de son agresseur. En effet, outre des suites trop courantes (12345, 000000, azertyuiop, 123123, etc.), on trouve beaucoup de prénoms dans cette édition 2021.
| Classement | Mot de passe | Décompte | Temps nécessaire pour le trouver |
| 1 | 123456 | 2 168 460 |
< 1 seconde
|
| 2 | 123456789 | 897 157 |
< 1 seconde
|
| 3 | azerty | 691 935 |
< 1 seconde
|
| 4 | 12345 | 646 333 |
< 1 seconde
|
| 5 | 000000 | 246 361 |
< 1 seconde
|
| 6 | tiffany | 244 320 | 17 minutes |
| 7 | qwerty | 240 564 |
< 1 seconde
|
| 8 | 1234561 | 212 793 | 1 seconde |
| 9 | loulou | 211 539 |
< 1 seconde
|
| 10 | marseille | 211 258 | 1 jour |
| 11 | doudou | 207 420 |
< 1 seconde
|
| 12 | azertyuiop | 187 294 | 1 minute |
| 13 | soleil | 155 805 |
< 1 seconde
|
| 14 | 12345678 | 155 009 |
< 1 seconde
|
| 15 | chouchou | 138 732 |
< 1 seconde
|
| 16 | password | 131 081 |
< 1 seconde
|
| 17 | 123123 | 130 138 |
< 1 seconde
|
| 18 | 111111 | 127 900 |
< 1 seconde
|
| 19 | 1234567 | 124 735 |
< 1 seconde
|
| 20 | nicolas | 118 307 | 3 secondes |
Le reste du top est à l'avenant : NordPass fournit sur son site web dédié un tableau qui regroupe les 200 occurrences les plus utilisées dans les mots de passe en France et on trouve énormément de prénoms, des expressions courantes et noms communs (bonjour, jetaime, coucou, maison, princesse, football). Dans l'ensemble, ce n'est vraiment pas fameux.
On trouve toutefois parfois des mots de passe un peu plus inattendus, comme lincogo1, Bajaonel12, x4ivygA51F et yuantuo2012. Leur apparente complexité reste relative : il faut trois heures pour trouver le premier, 12 jours pour le deuxième et le troisième et un jour pour le quatrième. Le plus solide de la liste est marseille13, qui a une résistance annoncée de quatre mois. Il est à la 199e place.
La liste comporte également une étrangeté : le mot de passe badoo est recensé à la 57e place, avec une solidité estimée à 10 secondes. Au-delà de sa durée de vie extrêmement brève, il faut relever que badoo est aussi le nom d'un service de rencontres, ce qui n'est pas bon signe : cela pourrait suggérer que des membres présents sur ce site s'en servent peut-être pour leur compte.
4 To de données analysées
Globalement, la liste des mots de passe les plus utilisés en France -- et qui est vraiment la liste des pires mots de passe -- est semblable à d'autres éditions, qu'elles concernent d'autres pays, d'autres années ou d'autres entreprises proposant ce genre de compilation. Ce qui finit par nourrir une certaine résignation : après tout, pourquoi continuer à prêcher dans le désert si rien ne change ?
Dans le cas de NordPass, ces listes ont été concoctées à partir de « recherches menées sur 2021 ». Elles ont mobilisé des chercheurs indépendants spécialisés dans la recherche d'incidents de cybersécurité, précise l'entreprise, sur la base d'une base de données qui a agrégé 4 To de mots de passe -- ce qui est considérable pour un ensemble ne contenant que des successions de mots de passe.
Ce type de travaux est aussi une occasion pour NordPass de mettre en avant son produit, un gestionnaire de mots de passe, qui est un programme servant de coffre-fort pour y stocker tous ces codes. De cette façon, il n'est pas utile de les retenir (sauf celui qui ouvre le coffre-fort), ce qui permet d'en créer des plus complexes. NordPass met aussi en avant son générateur de mots de passe à cette occasion.
Le calcul permettant d'estimer le temps nécessaire pour trouver un mot de passe se base sur différents paramètres, comme sa taille, la variété éventuelle des caractères (lettres, chiffres, symboles), la disposition des caractères, mais aussi l'emploi éventuel de dictionnaires pour passer en revue des noms communs, mais aussi des combinaisons trop courantes. Et, bien sûr, la puissance des ordinateurs.
Comment créer un bon mot de passe ?
Pour vérifier sans risque la solidité de son mot de passe, c'est-à-dire sans le taper où que ce soit, l’Agence nationale de la sécurité des systèmes d’information propose un outil qui permet d'estimer la qualité de ses codes en donnant des indications sur la manière dont ils sont structurés. Cela donne une idée générale si le mot de passe est très faible, faible, moyen ou fort.
Face à la persistance de mots de passe trop faibles, et parce que les pratiques individuelles ne semblent pas toujours évoluer favorablement, peut-être que le salut pourrait venir des sites et des applications. Plusieurs leviers sont possibles : bannir les mots de passe trop courants, demander un nombre minimal de caractères et de variété, empêcher certaines combinaisons, imposer l'authentification forte.
Il existe plusieurs recommandations pour créer un bon mot de passe, à l'image du guide la Cnil dans ce domaine. C'est évidemment une contrainte, car cela nécessite de mémoriser des codes compliqués, mais cela en vaut la peine. C'est pour cela qu'il peut être judicieux de passer par un gestionnaire pour avoir une aide. Ce n'est pas parfait, mais c'est toujours mieux que d'en utiliser qu'un seul ou de les noter sur des post-it.