À qui n’est jamais arrivé de recevoir un appel de sa mère parce qu’elle ne se souvenait plus de son mot de passe ? Au bout de vingt minutes au téléphone, elle sollicite finalement une aide simplifiée pour mémoriser tout ça. Reconnaissons-le : nous agissons souvent de la même manière. Au fond, nous savons que nous nous y prenons mal depuis longtemps, et pourtant nous persistons.
Cette année, les analystes de Kaspersky ont analysé 231 millions de mots de passe issus de fuites de données entre 2023 et 2026. Les résultats sont révélateurs : 60 % de ces mots de passe peuvent être déchiffrés en environ une heure, et 68 % en moins d’une journée. Cela n’est pas dû à la sophistication des attaques, mais plutôt au fait que nous continuons d’utiliser des mots de passe que les attaquants savent déjà que nous allons choisir.
Analyse des mots de passe filtrés
Au-delà des chiffres, il est intéressant de découvrir les motifs récurrents dans ce qui s’avère être une mauvaise pratique.
- 53 % des mots de passe analysés se terminent par des chiffres, et 17 % commencent par eux.
- Le symbole le plus utilisé est l’@, présent dans 10 % des cas.
- Près de 12 % incluent des séquences rappelant des dates, avec des années variant de 1950 à 2030.
- Des mots comme « love », « magic », « angel », « star », « eden » sont courants, tout comme leurs variantes plus sombres telles que « hell », « devil », « nightmare ».
Le souci n’est pas tant que ces mots soient jolis ou non, mais qu’ils sont précisément ceux que les attaques par force brute testent en premier, car ces systèmes ne sont pas aveugles : ils fonctionnent avec des dictionnaires et des motifs qui reflètent notre logique lors du choix d’un mot de passe.
Un mot de passe long n’est pas forcément une garantie
Pendant des années, nous avons entendu que plus un mot de passe est long, mieux c’est. Cela reste partiellement vrai, mais seulement jusqu’à un certain point. L’analyse de Kaspersky démontre que plus de 20 % des mots de passe de 15 caractères peuvent être cassés en moins d’une minute s’ils suivent des motifs prévisibles. Ainsi, un mot de passe long, basé sur un mot reconnaissable avec des chiffres à la fin, reste faible, même s’il comporte quinze caractères et une majuscule au beau milieu.
Quelles sont les exigences d’un mot de passe robuste aujourd’hui ?
Kaspersky précise qu’un mot de passe sécurisé doit répondre aux critères suivants :
- Plus de 16 caractères
- Combinaison aléatoire de lettres, chiffres et symboles
- Les lettres ne doivent pas former de mots et les chiffres ne doivent rien signifier pour son utilisateur
- Chaque compte doit avoir son propre mot de passe, afin qu’un accès à Instagram n’entraîne pas un accès au compte bancaire.
Le véritable problème est que personne ne peut mémoriser vingt mots de passe de 16 caractères aléatoires. Heureusement, il existe des gestionnaires de mots de passe. C’est là qu’intervient Apple, qui propose une solution depuis longtemps.
Application Contraseñas de l’iPhone : un espace sécurisé
Apple a lancé une application dédiée à la gestion des mots de passe, sobrement intitulée « Mots de passe ». Elle génère des clés sécurisées lors de l’inscription sur un nouveau service, les conserve de manière cryptée sur votre appareil et les remplit automatiquement lors de votre prochaine connexion, grâce à la reconnaissance faciale ou à l’empreinte digitale. Vous n’avez rien d’autre à retenir que le déverrouillage de votre iPhone.
C’est à chaque nouvelle inscription qu’un panneau vous suggère un mot de passe généré automatiquement.
Beaucoup ignorent que l’application offre une section de sécurité où vous pouvez vérifier facilement quels mots de passe sont répétitifs, ceux qui sont trop faibles et ceux qui figurent sur des listes de fuites connues. Il n’est pas nécessaire de tout changer le même jour, mais il est primordial de commencer par les comptes les plus sensibles : email, banque et paiements.
Les mots de passe semblent avoir un avenir incertain. Apple milite depuis plusieurs années pour les « passkeys », un système d’authentification qui remplace complètement le mot de passe par la reconnaissance faciale. Chaque fois que vous utilisez Face ID, vous êtes déjà dans ce futur. De plus en plus de services supportent ces options. En attendant, nous continuons à naviguer dans un monde de mots de passe, et la différence entre un bon et un mauvais mot de passe peut, comme le révèle Kaspersky, se mesurer en moins d’une heure.
Points à retenir
- Les mots de passe fréquents sont souvent simples et vulnérables.
- Une longueur suffisante est importante, mais les motifs prévisibles restent problématiques.
- Les gestionnaires de mots de passe sont essentiels pour sécuriser vos informations.
- Apple propose une solution pratique avec son application dédiée, facilitant la gestion des mots de passe.
- Un changement progressif vers des méthodes d’authentification plus sécurisées semble inévitable.
En tant que citoyen numérique, je me sens personnellement interpellé par ces statistiques alarmantes sur la sécurité des mots de passe. La simple prise de conscience des habitudes de création de mots de passe insuffisants pourrait rendre notre expérience en ligne bien plus sûre. Qu’en pensez-vous ? La transition vers des systèmes sans mot de passe devrait-elle devenir une priorité pour tous les utilisateurs ?