Une nouvelle analyse de près de 19 milliards de mots de passe divulgués entre 2024 et début 2025 montre que la sécurité des mots de passe chez les utilisateurs reste extrêmement faible. Les chercheurs ont constaté qu’environ 94 % des mots de passe de l’ensemble de données étaient réutilisés ou dupliqués sur plusieurs comptes. Seulement environ six pour cent étaient uniques.
Ils study ont révélé que les utilisateurs continuent de s’appuyer sur des motifs simples, des longueurs courtes et des séquences prévisibles. Les mots de passe les plus courants comprenaient « 123456 », « 123456789 », « password » et « qwerty », qui apparaissent tous régulièrement en tête des listes mondiales de violations de mots de passe depuis plus d’une décennie. Les experts notent que ces mots de passe peuvent être craqués en quelques secondes avec des outils automatisés.
Selon le rapport, environ 42 % de tous les mots de passe analysés comportaient entre huit et dix caractères, huit étant la longueur la plus courante. Environ 27 % ne contenaient que des lettres minuscules et des chiffres, offrant peu de résistance aux attaques automatisées. Malgré des années de campagnes de sensibilisation du public, les utilisateurs continuent de privilégier la commodité et la mémorisation plutôt que la force de sécurité.
Les chercheurs ont également découvert que de nombreux mots de passe combinent des informations personnelles telles que des noms, des anniversaires ou des équipes sportives. Ces modèles rendent les comptes encore plus vulnérables, car les attaquants utilisent souvent des méthodes basées sur des dictionnaires qui testent d’abord les noms communs et les combinaisons numériques. Les mots de passe contenant des informations personnelles sont souvent compromis dans les premiers stades des tentatives de force brute, laissant les comptes exposés.
Les mots de passe faibles persistent
Les analystes attribuent le recours continu à des mots de passe faibles à l’habitude et à la fatigue plutôt qu’à l’ignorance. De nombreux utilisateurs sous-estiment la probabilité d’être ciblés directement, en supposant que les attaquants se concentrent uniquement sur les grandes organisations. D’autres s’appuient sur des mots de passe similaires pour tous les services parce qu’ils craignent de les oublier. Cependant, la réutilisation des identifiants reste l’un des risques de cybersécurité les plus dommageables, car un compte piraté peut en déverrouiller plusieurs autres.
L’étude avertit que ce modèle permet aux attaquants de lancer des campagnes de « credential stuffing », dans lesquelles les mots de passe d’une violation sont automatiquement testés sur plusieurs sites Web. Cette technique est largement utilisée pour compromettre les comptes de messagerie, bancaires et de médias sociaux. Les mots de passe faibles ou réutilisés permettent aux criminels de réussir beaucoup plus facilement sans avoir à contourner des contrôles de sécurité plus avancés.
Les experts recommandent plusieurs étapes pratiques aux utilisateurs. Tout d’abord, chaque compte doit avoir un mot de passe unique long et complexe, idéalement d’au moins douze caractères. Les mots de passe doivent inclure des lettres majuscules et minuscules, des chiffres et des caractères spéciaux. Deuxièmement, les utilisateurs doivent activer l’authentification multifactorielle chaque fois qu’elle est disponible, ce qui ajoute une couche de protection supplémentaire même si le mot de passe est volé.
Les gestionnaires de mots de passe sont également fortement recommandés pour la création et le stockage d’informations d’identification sécurisées. Ces outils génèrent des combinaisons aléatoires qui sont presque impossibles à deviner et éliminent le besoin de se souvenir de plusieurs longues chaînes. En outre, les services qui informent les utilisateurs lorsque leurs données apparaissent dans une violation connue peuvent contribuer à réduire l’exposition en les incitant à changer de mot de passe en temps opportun.
Les chercheurs notent que de nombreuses violations découlent du comportement humain plutôt que de défauts du système. Des mots de passe simples et répétitifs continuent d’apparaître dans les ensembles de données chaque année, ce qui montre que la sensibilisation seule ne suffit pas à changer les habitudes. Les experts affirment qu’une formation cohérente, associée à une meilleure intégration des gestionnaires de mots de passe et des alertes de sécurité automatiques, pourrait aider à modifier les habitudes d’utilisation de longue date.
Les données de 2025 démontrent que la réutilisation et la simplicité des mots de passe restent des faiblesses majeures en matière de sécurité en ligne. Bien que les entreprises continuent d’investir dans des systèmes d’authentification plus solides, les individus doivent assumer une plus grande responsabilité dans la protection de leurs propres comptes. En l’absence d’un changement de comportement significatif, les mêmes mots de passe faibles risquent également de dominer les futurs rapports sur les atteintes à la vie privée.