« 123456 ». Pour la septième année consécutive, ce mot de passe trône en tête du classement des combinaisons les plus utilisées dans le monde, selon l'étude annuelle de NordPass. En France, « azerty » et « admin » figurent également dans le top des choix les plus répandus. Le résultat est prévisible : plus de huit incidents de cybersécurité sur dix recensés en France en 2024 découlent d'un mot de passe compromis, selon l'ANSSI. Un chiffre qui illustre à quel point cette porte d'entrée reste béante.
Pourquoi les mots de passe faibles sont-ils si dangereux ?
Un mot de passe faible n'est pas seulement facile à deviner : il est testé automatiquement par des outils informatiques capables de tenter des millions de combinaisons par seconde. Les pirates n'ont même pas besoin de vous cibler personnellement.
Les principales techniques utilisées sont :
- L'attaque par force brute : un programme teste toutes les combinaisons possibles, lettre par lettre. Un mot de passe de 6 caractères peut être craqué en quelques secondes.
- L'attaque par dictionnaire : le programme teste des listes de mots courants, prénoms, dates et combinaisons classiques. « azerty123 », « prénom + année de naissance » ou « nomdelamarque123 » sont déchiffrés en priorité.
- Le credential stuffing : des milliards d'identifiants circulent sur le dark web, issus de fuites de données passées. Les pirates testent automatiquement ces couples e-mail/mot de passe sur des centaines de services différents. Selon le rapport Verizon, jusqu'à 80 % des violations de données réussies résultent de la compromission d'identifiants de connexion.
La conséquence directe : si vous utilisez le même mot de passe sur plusieurs sites — ce que fait la majorité des internautes — une seule fuite suffit à compromettre l'ensemble de vos comptes en cascade.
Les erreurs les plus courantes à éviter
Les études annuelles sur les mots de passe les plus utilisés montrent une uniformité frappante des vulnérabilités, toutes générations confondues. Les habitudes d'une personne de 18 ans sont étonnamment similaires à celles d'une personne de 80 ans. Voici les erreurs les plus répandues :
- Les séquences évidentes : 123456, azerty, qwerty, abcdef, 000000…
- Les informations personnelles : prénom, date de naissance, nom de votre animal, ville natale — des données facilement trouvables sur vos réseaux sociaux.
- Le mot de passe unique : utiliser la même combinaison pour votre messagerie, votre banque et vos réseaux sociaux multiplie le risque par autant de services.
- Les substitutions prévisibles : remplacer le « e » par « 3 », le « a » par « @ » ou ajouter « ! » en fin de mot de passe. Ces astuces sont connues des outils d'attaque.
- Le mot de passe trop court : même un mot de passe de 12 caractères ne garantit plus une sécurité absolue face aux algorithmes d'intelligence artificielle et aux attaques par force brute modernes.
Les caractéristiques d'un mot de passe solide
Un bon mot de passe est avant tout long, aléatoire et unique. Voici les critères recommandés par l'ANSSI et la CNIL :
- Longueur : au minimum 12 caractères, idéalement 16 ou plus.
- Complexité : mélange de majuscules, minuscules, chiffres et caractères spéciaux (!, @, #, $, %, &…).
- Absence de sens : évitez les vrais mots, les noms propres et les dates reconnaissables.
- Unicité : un mot de passe différent pour chaque service, sans exception.
Une méthode efficace et mémorisable est la phrase de passe : assemblez 4 ou 5 mots sans lien logique entre eux, en y ajoutant quelques caractères spéciaux. Par exemple : Cheval-Soleil47!Banane_Nuage. Ce type de combinaison est à la fois très difficile à craquer et plus facile à retenir qu'une suite de caractères aléatoires.
Comment gérer des dizaines de mots de passe différents ?
C'est la question que tout le monde se pose. La réponse est simple : un gestionnaire de mots de passe. Cet outil génère, stocke et remplit automatiquement des mots de passe complexes et uniques pour chacun de vos comptes. Vous n'avez à mémoriser qu'un seul mot de passe maître — qui doit être particulièrement robuste.
Parmi les solutions les plus reconnues :
- Bitwarden — open source, gratuit dans sa version de base, très bien audité par des experts indépendants.
- 1Password — solution payante réputée, appréciée pour son ergonomie.
- Dashlane — gestionnaire français, avec une version gratuite limitée.
- Le gestionnaire intégré à votre navigateur (Chrome, Firefox, Safari) — pratique mais moins sécurisé qu'une solution dédiée, notamment si votre appareil est partagé.
Ces outils sont également capables de vous alerter si l'un de vos mots de passe a été identifié dans une fuite de données connue.
Vérifiez si vos données ont déjà été compromises
Il est fort probable que l'un de vos mots de passe circule déjà sur le dark web sans que vous le sachiez. Le site HaveIBeenPwned.com vous permet de vérifier gratuitement si votre adresse e-mail apparaît dans des bases de données piratées connues. Si c'est le cas, changez immédiatement le mot de passe associé — et tous les comptes où vous l'avez réutilisé.
En France, la CNIL et l'ANSSI publient chacune des recommandations officielles et régulièrement mises à jour sur la gestion des mots de passe.
Le bon réflexe en résumé
- Chaque compte doit avoir un mot de passe unique — jamais réutilisé ailleurs
- Visez minimum 12 caractères avec majuscules, minuscules, chiffres et symboles
- Utilisez un gestionnaire de mots de passe (Bitwarden, 1Password, Dashlane…) pour ne plus avoir à tout mémoriser
- Vérifiez si vos e-mails ont été compromis sur HaveIBeenPwned.com
- Activez la double authentification (2FA) en complément — un mot de passe fort + 2FA, c'est la combinaison la plus efficace
- Consultez les recommandations officielles sur ssi.gouv.fr ou cnil.fr