Incroyable mais vrai, le mot de passe le plus courant en France en 2023 est toujours le plus simple du monde

Alexandre Boero
Chargé de l'actualité de Clubic
15 novembre 2023 à 20h33
13
Le mot de passe est encore trop pris à la légère en 2023 © TierneyMJ / Shutterstock
Le mot de passe est encore trop pris à la légère en 2023 © TierneyMJ / Shutterstock

Dans le monde entier mais aussi en France, le mot de passe le plus utilisé en 2023 demeure l'iconique « 123456 », déchiffrable en moins d'une seconde. Dans la liste, ceux qui suivent ne sont pas bien plus difficiles à trouver.

C'est en étroite collaboration avec des chercheurs indépendants spécialisé dans la cybersécurité et en se basant sur une gigantesque base de données collectées notamment sur le dark web, que NordPass a établi son étude des mots de passe les plus courants en France. Vous allez voir que malgré la sensibilisation et les outils de protection qui existent, comme les gestionnaires de mots de passe, les pratiques globales ont encore du mal à changer.

Le roi du mot de passe est toujours le même, année après année

Comme l'an dernier, le célèbre « 123456 » reste le mot de passe le plus répandu en France et dans le monde. On vous laisse prendre connaissance du reste du top 20.

  1. 123456
  2. 123456789
  3. azerty
  4. admin
  5. 1234561
  6. azertyuiop
  7. loulou
  8. 000000
  9. doudou
  10. password
  11. marseille
  12. motdepasse
  13. 12345678
  14. chouchou
  15. soleil
  16. cheval
  17. 12345
  18. Password
  19. bonjour
  20. 1234567891

Le fameux « 123456 » est d'ailleurs sans concurrence, puisque retrouvé 86 656 fois dans la base de données étudiée, pesant autour de 5 to. Le second, « 123456789 » a lui été totalisé 38 771 fois. Un vrai gouffre. « Chouchou » et « loulou » sont en bonne place dans le classement, de quoi faire plaisir à Alexandra Lamy et Jean Dujardin.

Notons qu'à l'échelle du globe, « 123456 » est aussi le numéro un des mots de passe les plus courants parmi ceux découverts dans les données des pirates. Il est suivi d'« admin » et de « 12345678 ». À chaque fois, il ne faut pas plus d'une seconde à un hacker pour craquer ces mots de passe, exception faite pour « marseille », qui peut prendre une bonne journée, si le processus est automatisé.

Ce mot de passe se passe de commentaires, non ? © Vitalii Vodolazskyi / Shutterstock
Ce mot de passe se passe de commentaires, non ? © Vitalii Vodolazskyi / Shutterstock

Les mots de passe ne peuvent plus s'ériger en protection première

Pour l'édition 2023 de son étude, NordPass a innové en nous présentant aussi des résultats en fonction des mots de passe les plus utilisés par les internautes pour différents services en ligne. On apprend par exemple que les mots de passe les plus faibles utilisés par les usagers concernent leurs comptes de streaming.

Pour le directeur technique de NordPass, Tomas Smalakys, « cette tendance pourrait être associée à la gestion commune de comptes partagés et à l'utilisation de mots de passe faciles à mémoriser pour des raisons de praticité ». Ceux choisis pour les comptes financiers sont, en revanche, les plus solides. Il y a une forme de logique là-dedans, d'autant plus que les établissements bancaires, organismes de crédit ou assurances imposent pour certains une combinaison de chiffres, caractères spéciaux et lettres.

Parce que toute la bonne volonté du monde ne suffit pas à rendre le mot de passe suffisamment protecteur, l'alternative des clés de sécurité (clés d'accès ou passkeys) s'affirme comme une nouvelle forme d'authentification. L'utilisateur n'a plus besoin de créer de mot de passe, et lorsqu'il se connecte à un site internet compatible, son appareil génère une paire de clés (une publique, une privée), la première étant enregistrée sur l'appareil, la seconde stockée sur le serveur du site web.

Si l'usager est identifié à l'aide d'un moyen biométrique, alors les clés sont associées et l'identification se fait en un rien de temps. C'est sans doute là qu'est l'avenir. Google et d'autres poussent en tout cas en ce sens.

Alexandre Boero

Alexandre Boero

Chargé de l'actualité de Clubic

Chargé de l'actualité de Clubic

Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJC...

Lire d'autres articles

Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM, école reconnue par la profession), pour écrire, interviewer, filmer, monter et produire du contenu écrit, audio ou vidéo au quotidien. Quelques atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la production vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et la musique :)

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (13)

Keorl
Ben non ce n’est pas «&nbsp;incroyable mais vrai&nbsp;». Il n’y a aucune chance que ça évolue sensiblement (au pire azerty prendra la place de 123456, ou autres échanges de position).<br /> C’est tout le principe du classement : on prend les mots de passe les plus courants. On tombera FORCÉMENT sur les mots de passe les plus moisis, même si l’éducation du public s’amélior[e/ait]. Un mot de passe correctement fait (génération aléatoire) est par définition rare si ce n’est unique et n’apparaitra donc jamais au classement.<br /> Plutôt que de faussement s’étonner que le classement reste à peu près le même, il serait plus intéressant d’analyser l’évolution de la fréquence de ces mots de passe courants (est-elle globalement en baisse ? stable ? en hausse ?), et l’évolution de la répartition des mots de passe par type : suites simples, mots/noms/dates vulnérables aux attaques dictionnaire les plus simples, mots de passe simples déguisés pour se conformer à des règles imposées ou apprises mais vulnérables aux attaques dico sophistiquées (substitutions, ajout de caractères spéciaux ou chiffres à la fin …), et enfin mots de passe apparemment aléatoire et/ou n’ayant pas pu être retrouvés à partir d’une fuite de hash salés.
Squeak
Je pense que la plupart des sites parmi les plus visités mettent en place des règles maintenant pour éviter ça. C’est même une nécessité.<br /> Pourtant, peu de gens sont au courant qu’il existe des excellents gestionnaires de mots de passe sécurisés.
Hikarunogo
Quasiment tous les sites obligent maintenant à une lettre majuscule, minuscule, un chiffre et un signe.<br /> Pour les autres, les suites de chiffres ou nombres comme 987654 ne posent pas de problème s’ils ont mis une limitation du nombre d’erreurs de mot de passe.<br /> Dans tous les cas, il faut mettre une limitation du nombre d’erreurs de mot de passe avant un blocage de l’adresse IP.
bennukem
La tendance vas aussi vers la connexion sans mot de passe. On rentre son identifiant puis on reçoitpaf email un lien avec un token. Bon par contre l’email lui reste avec «&nbsp;123456&nbsp;»…
xXBernadette_SanguineXx
Je ne vois pas ou est le problème, un site qui t’oblige de faire une inscription pour avoir une information… chez moi c’est mail poubelle et mot de passe 123456. Je ne vois pas pourquoi j’irais mettre un mot de passe complexe pour un site ou je ne rentre pas de donnés personnelles/ ou que je ne compte pas garder au long terme.
Felaz
J’aime beaucoup «&nbsp;Cheval&nbsp;»
rapikinor
Déjà la source est discutable …<br /> «&nbsp;base de données collectées notamment sur le dark web&nbsp;»<br /> Et 86000 sur combien ?!?
keyplus
moi j’ai 123456! car personne n’est capable de calculer le factoriel de 123456<br /> d’où l’intérêt de si connaitre en math
OliverS
Exactement comme écrit précedemment, une base de données issue du dark web comme source. Base de données dont on ne sait rien : de quand date t’elle ? est ce que les sites impactés ont forcé le cgt de mdp ? combien de 123456 sur un total de combien de mdp stockés ? etc etc …<br /> Bref, pas grande valeur ce résultat. Sans compter que comme écrit aussi précedemment, il n’y a plus bcp de site/apps/etc… qui autorise 123456 comme mdp…
Winpoks
Même sans cette règle, limiter le nombre de tentatives dans un certain laps de temps est un indispensable. La plupart l’ont mis en place heureusement.<br /> Grâce à cette sécurité, suffit de prendre le dixième mot de passe utilisé et t’es tranquille un moment !
StephaneGotcha
Je ne vois pas ce qu’il y a d’incroyable.<br /> Il y a peu de chance que ça devienne : B3RnarDdU72$<br /> (il y a pas assez de Bernard)
Black_Lotus_974
«&nbsp;marseille&nbsp;» c’est 9 lettres sans majuscules ni chiffres ni caractères spéciaux. Pourquoi il prendrait une journée quand les autres mots de passe du même type ne prenne qu’une seconde ?<br /> Le graphique sur la page Combien de temps un pirate met-il pour trouver votre mot de passe ? Comment vous protéger ? - francenum.gouv.fr indique bien que ce n’est pas une journée mais moins d’une seconde comme les autres mots de passe pour cracker «&nbsp;marseille&nbsp;».
kroman
Quel est le contexte ?<br /> Là dedans il y a probablement le mot de passe Windows du PC utilisé par toute la famille ou des sites dont on se fiche qui demandent à s’inscrire pour télécharger un fichier…
Keorl
Parce que Clubic a repris sans esprit critique ni aucune réflexion (en témoigne le titre : on s’étonne d’une tautologie), l’analyse sans contexte faite par «&nbsp;nordpass&nbsp;» plus par marketing que par démarche de recherche (dans le sens scientifique).<br /> Ils ont dû tout passer à la même moulinette basique, dans laquelle «&nbsp;marseille&nbsp;», un exemple franco-français, n’apparaît pas comme une entrée basique de dictionnaire (sans même une substitution ou des ajouts de chiffres/spéciaux) mais comme un aléatoire de 9 lettres sans chiffres ni mix de casse ni spéciaux. Ils ont dû faire la même chose pays par pays sans contextualiser, et avec un dictionnaire américain et franchement limité.<br /> Tout vrai dictionnaire d’attaque doit commencer par les mots de passe les plus populaires de tous les pays (donc marseille doit figurer en bonne place, vu que ce n’est pas sa première apparition dans ces classements), suivi des dictionnaires de langues et noms propres et des résultats des fuites précédentes.
Keorl
Tu es loin du compte.<br /> La limitation des essais n’est qu’une rustine qui protège un peu le site qui l’utilise, contre les petites tentatives personnelles/malveillantes/par des proches, rien de plus. Ce n’est certainement pas une mesure de sécurité forte qui autorise comme tu l’affirmes à utiliser des mots de passes bidon puisque ne faisant pas partie des N première tentatives.<br /> Les blocages sont généralement temporaires (le gars qui te cherche des noises réessaiera plus tard), et de telles attaques sont de toute façon automatisées si elles sont faites non pas pour te cibler spécialement mais par un groupe malveillant. Les attaquants ayant accès à des botnets (= 0 problème de limite ou de blocage d’ip) dépasseront vite le nombre de tentatives que tu penses nécessaires pour deviner ton mot de passe bidon.<br /> De plus beaucoup de gens réutilisent les mots de passe. Si tu sais que jean dupont arobase gmail point com rentre sur fnacazone point org avec le mot de passe T@rtampion12, tu tentes ça directement sur tout un panel de sites plus ou moins connus, soit pour utiliser les accès ainsi gagnés, soit pour les revendre.<br /> C’est là que les fuites interviennent. Elles ne proviennent JAMAIS de tentatives au pif dans les formulaires de login. Elles proviennent d’exploitation de failles de sécurité (détectées automatiquement), d’attaques/intrusion ciblées sur des entreprises (et aucun niveau de sécurité ne permet d’être totalement invulnérable) … . La fuite sort une base de données où, en général, les mots de passe sont hashés. Justement pour éviter qu’ils apparaissent en clair aux bénéficiaires d’une fuite (ou à un employé mal intentionné). Sauf que le hash, c’est un algo irréversible mais pas aléatoire. Si le hash de 987654 est GGGTTT, alors dès que tu vois «&nbsp;GGGTTT&nbsp;» dans la fuite, tu sais que le mot de passe était 987654. Ton mot de passe pourri est extrêmement vulnérable à ça : à la première fuite, malgré le hash, il sera reconnu dans un dictionnaire inversé de hash pré-calculés et pourra être utilisé bien sûr sur le site qui a fuité mais sur tout autre où tu aurais utilisé le même mot de passe (peu importe si c’est avec le même login ou mail : les recoupements entre fuites permettent de faire correspondre les identités des gens). Si ton mot de passe était «&nbsp;m9Y@6g7BEd4o^kdd&nbsp;», il n’existe pas dans le dico et malgré la fuite tu es tranquille un moment (mais bon autant le changer quand tu es au courant de la fuite, et plus encore si tu l’as utilisé ailleurs). Après il y a la notion de SEL, qui creuse la différence entre un bon et un mauvais mot de passe. Si le hash de 987654 était GGGTTT, mais que le site dont les données ont fuité était bien fait, il applique un sel différent pour chacun : pour toi ça sera Hika (en général c’est aléatoire, je mets ça pour l’exemple), ton mot de passe hashé n’est donc plus GGGTTT mais le hash de 987654Hika à savoir disons EEDFVV. Ce n’est pas dans un dictionnaire, mais les groupes qui ont accès à la fuite ne vont pas s’arrêter là puisqu’ils ont les hash sous la main et aucune limite d’essais : ça prend des secondes pour recalculer des millions de hash : on prend un dictionnaire d’attaque, on accole le sel de chaque utilisateur (qui a forcément fuité en même temps que les hash) à chaque entrée (11111Hika, 222222Hika, azertyHika) et on calcule tous les hash jusqu’à en trouver qui correspondent. Et là magie, on tombe sur «&nbsp;EEDFVV&nbsp;» en calculant le hash d’une des premières entrée du dico avec ton sel : «&nbsp;987654Hika&nbsp;». Plus qu’à ajouter ton identifiant (et tes autres identifiants connus) avec le mdp «&nbsp;987654&nbsp;» à la liste des couples id/mdp connus, vendus, et tentés ailleurs. (je ne parle pas du cas où le sel est le même pour tout le monde -dans le code mais pas la bdd- et n’a pas forcément fuité avec les données, ou du cas idéal où il y a les deux, mais l’idée générale reste la même).
Hikarunogo
Le hash est différent à chaque fois. Il n’existe pas de traducteur inversé. Sinon, ce serait pas du tout sécurisé.
Keorl
Tu ne comprends pas (ou tu n’as pas pris la peine de lire)<br /> Il n’existe pas d’ ALGO inversé. Mais le hash est déterministe (non, il n’est pas «&nbsp;différent à chaque fois&nbsp;», sinon il serait inutilisable. Après il y a la notion de sel que j’ai détaillée dans mon message précédent). Les gars ont des hash pré-calculés. Ils ont déjà des tables avec des milliards de mots de passes (dico, dico+substitutions/chiffres/spéciaux, mdp issus de fuites précédentes) et leurs hash correspondants avec les algo les plus courants (md5, sha256 …). Il suffit d’indexer ça et de faire une recherche inversée.<br /> Et d’autre part, même avec du sel, les gars peuvent se permettre de recalculer des hash à la volée lors d’une fuite, pour retrouver les mots de passe. Pas en inversant l’algo, mais simplement en calculant le hash de tout un tas de mots de passes hypothétiques puis en comparant les hash calculés avec les hash fuités.<br /> C’est d’ailleurs exactement ça qui est calculé quand, dans des articles comme celui de clubic aujourd’hui, on te dit que ce mot de passe résisterait «&nbsp;moins d’une seconde&nbsp;» ou «&nbsp;moins d’une journée&nbsp;» : c’est le temps de calcul des millions ou milliards de hash qui seront calculés avant de tomber sur celui de ton mot de passe (et donc sur ton mot de passe lui même, puisqu’on sait de quoi on a calculé les hash)
Voir tous les messages sur le forum

Top meilleurs antivirus

Bitdefender
Bitdefender Voir l'offre
Norton 360
Norton 360 Voir l'offre
Avast One
Avast One Voir l'offre
  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet

Comment protéger vos mots de passe et vos informations personnelles en 2024 ? Comment protéger vos mots de passe et vos informations personnelles en 2024 ?
Avec Bitdefender Premium Security Plus, gérez vos mots de passe pour une rentrée sécurisée ! Avec Bitdefender Premium Security Plus, gérez vos mots de passe pour une rentrée sécurisée !
Vous utilisez des mots de passe plus longs ? Ce n'est pourtant pas synonyme de sécurité, selon une étude Vous utilisez des mots de passe plus longs ? Ce n'est pourtant pas synonyme de sécurité, selon une étude
Le RecApp' : Windows, Chrome, WhatsApp, les actus qu'il ne fallait pas manquer cette semaine Le RecApp' : Windows, Chrome, WhatsApp, les actus qu'il ne fallait pas manquer cette semaine
Ce gestionnaire de mots de passe est aussi abordable qu'efficace Ce gestionnaire de mots de passe est aussi abordable qu'efficace