Malgré les alertes, les mots de passe les plus simples restent massivement utilisés.  

« 123456 » reste le mot de passe le plus utilisé au monde 

Malgré des années d’alertes en cybersécurité, des millions d’utilisateurs continuent de protéger leurs comptes avec des combinaisons d’une simplicité déconcertante. 

Selon le dernier rapport annuel de NordPass sur les mots de passe exposés lors de fuites de données, le mot de passe le plus utilisé au monde reste sans surprise : « 123456 ». D’autres classiques tout aussi prévisibles comme « 123456789 », « 12345678 », « 12345 » ou encore « admin » conservent eux aussi une popularité inquiétante année après année. 

Ma première réaction a été de balayer ces chiffres comme un simple argument alarmiste, d’autant que les mauvaises pratiques liées aux mots de passe figuraient déjà parmi les sujets abordés lors d’une session communautaire que j’ai animée à la conférence RSAC : Let’s Rant: 4 Things That Need to Change in Cybersecurity

Mais j’ai voulu vérifier une chose : est-il encore possible aujourd’hui de créer un compte sur un site relativement connu en utilisant « 123456 » comme mot de passe ? 
Malheureusement, la réponse est oui. 

Des sites populaires, comme Evite, autorisent encore l’utilisation de cette simple suite de six chiffres comme mot de passe. On pourrait minimiser le risque en se disant qu’il ne s’agit « que » d’un service d’invitations en ligne… jusqu’à réaliser que les utilisateurs y partagent des données personnelles et gèrent potentiellement les réponses de tous leurs invités via un compte insuffisamment protégé. Le plus frappant dans ce test pourtant très basique, c’est qu’Evite a déjà été victime d’une fuite de données en 2019, exposant les informations personnelles de plus de 100 millions de personnes. L’entreprise devrait sans doute être plus stricte sur la robustesse des mots de passe autorisés. 

La situation n’est guère plus satisfaisante sur des plateformes encore plus populaires. Lors de la création d’un nouveau compte Facebook, un niveau minimal de complexité était bien exigé. Pourtant, un mot de passe aussi faible que « 1234567! » a été accepté. Même constat sur X. 

Facebook affiche pourtant plusieurs recommandations de sécurité, comme éviter les termes trop communs tels que « password », ou encore renforcer son mot de passe avec des majuscules, des minuscules et une phrase plus longue difficile à deviner. Malgré cela, « 1234567! » reste valide : aucune lettre, seulement une suite logique de chiffres suivie d’un point d’exclamation. Un schéma extrêmement prévisible, facilement exploitable par des scripts automatisés capables de tester massivement les combinaisons les plus courantes. 

À l’inverse, Collins Dictionary, un service hébergeant des contenus bien moins sensibles, imposait un mot de passe d’au moins huit caractères contenant au minimum trois des éléments suivants : lettres minuscules (a-z), lettres majuscules (A-Z), chiffres (0-9) et caractères spéciaux (!@#$%^&*). 

Les données de NordPass laissent penser que de nombreux services appliquent encore des politiques de mots de passe trop permissives, autorisant des combinaisons triviales comme « 123456 ». Toutefois, il faut aussi prendre en compte un possible effet d’héritage dans la manière dont ces statistiques sont établies. Par exemple, une entreprise existant depuis plus de dix ans et n’ayant jamais supprimé les comptes inactifs pourrait voir des identifiants anciens réapparaître lors d’une fuite de données, certains datant potentiellement d’une époque où aucune politique de mot de passe stricte n’était imposée. La logique derrière la publication de ces classements accrocheurs est également évidente : les entreprises à l’origine de ces études commercialisent souvent des gestionnaires de mots de passe par abonnement et bénéficient naturellement de la médiatisation du problème. 

Changer les habitudes 

Alors, comment sortir de cette boucle sans fin autour des mots de passe faibles et de l’absurdité de plateformes qui continuent d’accepter des identifiants non sécurisés ? 

Je ne suis pas partisan d’une surprotection réglementaire des citoyens, mais sur ce sujet, il est peut-être temps que les législateurs interviennent. Les entreprises ne devraient plus pouvoir se contenter de politiques d’authentification minimales laissant aux utilisateurs la possibilité de choisir la facilité au détriment de la sécurité. 

La plupart des réglementations sur la protection des données imposent déjà aux organisations de sécuriser les informations personnelles qu’elles stockent à l’aide de mesures de cybersécurité « raisonnables et appropriées ». Or, l’un des fondements de toute stratégie de sécurité sérieuse repose justement sur l’utilisation de mots de passe robustes et de l’authentification multifacteur (MFA), comme l’exigent la quasi-totalité des référentiels cybersécurité modernes. 

Pourtant, dans de nombreux cas, aucune obligation concrète n’impose des standards d’authentification stricts sur les services destinés au grand public. 

À l’inverse, certains secteurs ont déjà été contraints d’adopter des méthodes d’authentification modernes. Dans le secteur financier, par exemple, plusieurs réglementations (notamment la directive européenne PSD2) imposent l’authentification multifacteur (MFA) pour les paiements électroniques et l’accès aux comptes bancaires en ligne. 

Cette logique devrait désormais s’étendre à l’ensemble des secteurs : imposer systématiquement le MFA pour tout compte créé en ligne, abandonner progressivement les mots de passe traditionnels et adopter des mécanismes de sécurité mieux adaptés à l’internet d’aujourd’hui. 

Le principal obstacle à cette approche reste toutefois la friction à l’inscription. Les entreprises dont le modèle économique repose sur la publicité ou la collecte (voire la revente) de données personnelles feront probablement pression contre toute mesure compliquant la création de comptes. Les grandes plateformes, soucieuses de maximiser leurs revenus, rechignent souvent à introduire des contraintes supplémentaires, même lorsqu’il s’agit de mieux sécuriser les comptes clients via des mots de passe robustes ou le MFA. 

Depuis plus de trente ans dans l’industrie de la cybersécurité, le problème des mots de passe faibles revient inlassablement dans les conférences, les campagnes de sensibilisation et jusqu’aux journées mondiales dédiées à la sécurité numérique. Pourtant, la solution existe déjà : imposer des mots de passe réellement complexes. Ou mieux encore : généraliser l’authentification multifacteur. 

Peut-on enfin mettre un terme au débat sans fin sur les « mots de passe faibles » ? 

Pour générer des mots de passe robustes et en apprendre davantage sur la sécurité des comptes en ligne, rendez-vous sur notre outil gratuit et facile générateur de mots de passe