Piraté en moins d’une minute : (presque) un mot de passe sur deux

Chaque année, des centaines de millions de mots de passe d’utilisateurs réels sont divulgués sur le Dark Web. Nous avons analysé 231 millions de mots de passe uniques provenant de fuites sur le Dark Web entre 2023 et 2026, et les conclusions sont sans appel : la grande majorité d’entre eux sont extrêmement faibles. Pour pirater 60 % de ces mots de passe, un pirate informatique n’a besoin que d’une heure et de quelques dollars en poche. De plus, le piratage des mots de passe s’intensifie d’année en année. Dans notre précédente étude de 2024, le pourcentage de mots de passe vulnérables était plus faible.

Aujourd’hui, nous nous penchons sur la fiabilité réelle d’un mot de passe classique (attention, spoiler : elle est plutôt faible) et sur les moyens de sécuriser vos données ainsi que vos comptes à l’aide de méthodes plus efficaces. Nous mettrons également en évidence les types de mots de passe les plus fréquemment utilisés par les utilisateurs.

Comment les mots de passe sont-ils piratés ?

Dans notre étude précédente, nous avons présenté en détail les différentes méthodes de stockage et de piratage des mots de passe, mais voici un bref rappel des notions de base.

De nos jours, les mots de passe ne sont pratiquement plus jamais stockés en clair. Par exemple, si vous créez un compte avec le mot de passe  » Motdepasse123! « , le serveur ne l’enregistrera pas tel quel. Au lieu de cela, le mot de passe est haché à l’aide d’algorithmes spécifiques, le transformant en une chaîne de caractères de longueur fixe composée de lettres et de chiffres (un hachage) : c’est cette chaîne qui est en réalité conservée sur le serveur. Par exemple, voici à quoi ressemble le hachage MD5 de  » Motdepasse123!  » :

1bf82af751df5509e3d74b64441944f3.

Chaque fois que l’utilisateur saisit son mot de passe, celui-ci est converti en une valeur de hachage qui est ensuite comparée à celle stockée sur le serveur. Si les valeurs de hachage correspondent, le mot de passe est correct. Si un pirate parvient à mettre la main sur ce hachage, il devra le déchiffrer pour récupérer le mot de passe d’origine – c’est ce qu’on appelle le  » piratage de mot de passe « . Cette opération s’effectue généralement à l’aide de processeurs graphiques (GPU) achetés ou loués, et plusieurs méthodes peuvent être utilisées pour le piratage :

• Énumération exhaustive (force brute). L’ordinateur essaie toutes les combinaisons possibles de caractères, en calculant le hachage de chacune d’entre elles. Cette méthode est la plus simple pour pirater les mots de passe courts ou ceux composés d’un seul type de caractères (par exemple, uniquement des chiffres).
• Tables arc-en-ciel (rainbow tables). Un véritable cauchemar pour tous ceux qui utilisent un mot de passe simple : il s’agit essentiellement d’un  » annuaire  » de mots de passe dont les hachages ont déjà été piratés par force brute ou à l’aide d’algorithmes complexes. Il suffit à un pirate informatique de trouver un hachage correspondant pour découvrir le mot de passe qui s’y rattache.
• Piratage intelligent. Ces algorithmes sont entraînés à partir de bases de données contenant des mots de passe divulgués. Ils connaissent la fréquence des différentes combinaisons de caractères et vérifient les séquences en partant des plus probables vers les moins courantes. Ils prennent en compte les mots du dictionnaire, les substitutions de caractères (a → @ ou s → $) et tiennent compte des structures courantes de mots de passe telles que  » mot du dictionnaire + chiffre + caractère spécial « , tout en comparant les hachages à des tables arc-en-ciel. La combinaison de ces méthodes accélère considérablement le processus de piratage.

De plus, les pirates informatiques peuvent également intercepter les mots de passe en clair. Il existe de nombreuses façons de procéder, qu’il s’agisse du phishing (où la victime est attirée vers une fausse page Internet et saisit volontairement son mot de passe), des enregistreurs de frappe qui interceptent les frappes au clavier, ou encore des logiciels de vol ou des chevaux de Troie qui dérobent des documents, des cookies, des données du presse-papiers, etc. Malheureusement, de nombreux utilisateurs conservent leurs mots de passe en texte clair dans des notes, des applications de messagerie et des documents, ou les enregistrent dans leurs navigateurs, où des pirates informatiques peuvent les extraire en quelques secondes.

Chaque année, nous recensons environ cent millions de fuites de mots de passe en clair. Nous utilisons ces bases de données pour avertir Kaspersky Password Manager les utilisateurs si leurs données ont été compromises. Pour répondre à la question qui nous est le plus souvent posée à ce sujet : non, nous ne connaissons pas les mots de passe de nos utilisateurs. Nous avons expliqué, dans un langage accessible à tous, comment nous comparons vos mots de passe à ceux qui ont fait l’objet de fuites sans les connaître réellement, et pourquoi ni vos mots de passe stockés, Kaspersky Password Manager ni même leurs hachages, ne quittent jamais votre appareil. Vous trouverez ces explications dans nos présentations consacrées à notre technologie d’analyse des fuites et à l’architecture interne de notre gestionnaire de mots de passe. Jetez-y un œil, vous serez surpris par l’élégance du design.

60 % des mots de passe sont piratés en moins d’une heure

Nous avons ajouté 38 millions de mots de passe réels supplémentaires, publiés par des pirates informatiques sur des forums du Dark Web, à la base de données de notre étude précédente, puis nous avons comparé les résultats. Les tests ont été réalisés à l’aide d’une seule carte graphique RTX 5090 pour des mots de passe hachés au moyen de l’algorithme MD5. Les données utilisées pour cette analyse proviennent de notre service Digital Footprint Intelligence. Vous pouvez passer en revue l’algorithme que nous avons utilisé pour évaluer le niveau de sécurité des mots de passe dans notre article sur Securelist.

Malheureusement, les mots de passe sont toujours aussi vulnérables, alors que leur piratage devient chaque année plus rapide et plus facile. Aujourd’hui, 60 % des mots de passe peuvent être piratés en moins d’une heure. Il y a deux ans, ce chiffre était de 59 %. Mais le plus effrayant est ailleurs : près de la moitié des mots de passe (48 %) sont piratés en moins d’une minute !

Les pirates informatiques doivent ce gain de vitesse aux processeurs graphiques, dont la puissance ne cesse d’augmenter d’année en année. Alors qu’une RTX 4090 en 2024 pouvait effectuer une attaque par force brute sur les hachages MD5 à une vitesse de 164 gigahashes (milliards de hachages) par seconde, la nouvelle RTX 5090 a augmenté cette vitesse de 34 %, atteignant ainsi 220 gigahashes par seconde.

Et bien qu’une carte graphique haut de gamme comme celle-ci coûte actuellement plusieurs milliers de dollars, son prix ne constitue pas vraiment un obstacle : il existe de nombreux services cloud bon marché permettant de louer de la puissance de calcul GPU. Selon la configuration et le modèle, les frais de location varient de quelques centimes à quelques dollars de l’heure. Comme nous l’avons vu, une heure suffit à un pirate pour déchiffrer trois mots de passe sur cinq parmi ceux qu’il a trouvés dans une fuite de données. De plus, selon l’ampleur de la tâche, il peut toujours louer dix, voire une centaine de GPU au lieu d’un seul…

Il convient de noter que le temps nécessaire pour pirater tous les mots de passe d’un ensemble de données n’est guère plus long que celui requis pour en pirater un seul. À chaque itération, une fois que le pirate informatique a calculé un hachage pour une combinaison de caractères particulière, il vérifie si ce même hachage figure quelque part dans l’ensemble de données, sachant que plus l’ensemble de données est volumineux, plus il est facile de trouver une correspondance. Si une correspondance est trouvée, le mot de passe correspondant est marqué comme  » piraté « , et l’algorithme passe au suivant.

Quels sont les mots de passe vulnérables ?

La sécurité d’un mot de passe repose sur sa longueur, la diversité des symboles utilisés et leur caractère aléatoire. Les mots de passe créés par des humains s’avèrent être les moins sûrs, car malheureusement, les humains sont assez prévisibles. Nous utilisons des mots du dictionnaire et des combinaisons de caractères que des algorithmes avancés maîtrisent depuis longtemps, nous évitons les longues chaînes aléatoires, et des tendances peuvent être observées même dans des séquences de frappes que nous croyons aléatoires. Il est intéressant de noter que les mots de passe générés par l’IA portent toujours la marque d’une approche humaine. Nous avons abordé ce sujet dans un article consacré à la création d’un mot de passe à la fois sûr et facile à retenir.

La longueur du mot de passe est le principal facteur qui influe sur le temps nécessaire pour le pirater. Comme vous pouvez le constater dans le tableau ci-dessous, il faut moins de 24 heures pour pirater presque tous les mots de passe de huit caractères.

Pourcentage de mots de passe de différentes longueurs pouvant être piratés dans un délai donné

Cependant, la prévisibilité de votre mot de passe est tout aussi importante. Vous pensez renforcer la sécurité en ajoutant un chiffre ou un caractère spécial à un mot facile à retenir ? En effet, mais le gain est minime. Les combinaisons que les gens utilisent pour créer leurs mots de passe sont faciles à deviner et, parfois, assez amusantes, bien que cela ne soit pas toujours très drôle.

Ce que nous avons appris sur les combinaisons de mots de passe

L’analyse de plus de 200 millions de mots de passe a mis en évidence des tendances caractéristiques qui permettent à des algorithmes intelligents de pirater facilement les mots de passe des utilisateurs.

Choisissez un chiffre

Plus de la moitié des mots de passe (53 %) se terminent par un ou plusieurs chiffres, tandis que près d’un sur six (17 %) commence par un chiffre. Un mot de passe sur huit (12 %) contient des séquences qui ressemblent fortement à des années (allant de 1950 à 2030) et un sur dix (10 %) se situe précisément entre 1990 et 2026. Cela s’explique très probablement par le fait que les gens utilisent leur année de naissance (ou celle d’un proche), une autre année importante, ou encore l’année où ils ont créé leur mot de passe ou leur compte. Pour l’anecdote : d’après la répartition de ces dates, il semblerait que les internautes les plus actifs soient nés entre 2000 et 2012.

Cependant, parmi toutes les combinaisons de chiffres, la plus populaire s’est avérée être… vous l’aurez deviné :  » 1234 « . Dans l’ensemble, les séquences de touches ( » azerty « ,  » ytreza  » et autres) apparaissent dans 3 % des mots de passe.

Les caractères spéciaux ne sont pas une solution miracle

La plupart des politiques en matière de mots de passe mises en place ces dernières années exigent au moins un caractère spécial. Le grand gagnant de cette catégorie est le symbole @ : on le retrouve dans un mot de passe sur dix. Le point (.) arrive en deuxième position, suivi du point d’exclamation (!) en troisième position.

L’amour fait tourner le monde… et Skibidi Toilet aussi, apparemment

Les mots chargés d’émotion servent souvent de base aux mots de passe, et dans l’ensemble, les mots positifs sont plus courants. Parmi les exemples les plus courants, on peut citer  » love  » ( » amour « ),  » angel  » ( » ange « ),  » team  » ( » équipe « ),  » mate  » ( » ami « ),  » life  » ( » vie « ) et  » star  » ( » étoile « ). Cela dit, on trouve aussi des expressions négatives, principalement sous la forme de jurons courants en anglais.

Il est intéressant de noter que les mèmes viraux se retrouvent également dans les mots de passe. Entre 2023 et 2026, l’utilisation du mot Skibidi dans les mots de passe a été multipliée par 36 ! Bien sûr (cliquez sur le lien si cela ne vous semble pas évident), le mot  » toilet  » (toilettes en anglais) a lui aussi connu une hausse, bien que dans une moindre mesure.

Les utilisateurs ont tendance à garder les mêmes mots de passe pendant des années

Plus de la moitié des mots de passe (54 %) que nous avons recensés dans les récentes fuites avaient déjà été identifiés auparavant. Cela s’explique en partie par le fait que les mêmes données sont migrées d’un ensemble de données à un autre. Il existe toutefois une raison bien plus préoccupante : de nombreux utilisateurs n’ont tout simplement pas changé leur mot de passe depuis des années.

L’analyse des dates présentes dans les mots de passe montre que les combinaisons comprenant les années 2020 à 2024 restent très courantes. Il semblerait que les gens ajoutent l’année en cours à leur mot de passe lorsqu’ils le créent, puis l’oublient pendant plusieurs années. Cela nous permet en fait de calculer la durée de vie moyenne d’un mot de passe : environ trois à cinq ans.

Il s’agit d’une tendance dangereuse. D’une part, les algorithmes intelligents sont capables de pirater des mots de passe bien plus complexes dans ce laps de temps. D’autre part, plus votre mot de passe reste inchangé longtemps, plus le risque qu’il soit divulgué est élevé, que ce soit à la suite d’une violation de sécurité, d’une infection par un programme malveillant ou d’une attaque par phishing.

Le problème s’aggrave encore lorsque le même mot de passe est utilisé pour plusieurs comptes. Dans ce cas, les pirates informatiques n’ont même pas besoin de pirater quoi que ce soit. Il leur suffit de trouver votre mot de passe à partir d’une seule fuite de données et de l’utiliser sur d’autres sites.

Comment protéger vos mots de passe et vos comptes

Si, en lisant cet article, vous vous êtes rendu compte que vos mots de passe font partie de ceux qui peuvent être facilement piratés, pas de panique. Nous avons dressé pour vous une liste de conseils simples, mais indispensables.

Utilisez un gestionnaire de mots de passe

Les mots de passe les moins fiables sont ceux que les gens inventent eux-mêmes. Il est difficile, voire irréaliste, de créer et de mémoriser des centaines de séquences composées de 16 à 20 caractères aléatoires (puisque chaque site exige un mot de passe long et unique).

C’est pourquoi vous devriez confier la création et le stockage de vos mots de passe à notre gestionnaire de mots de passe. Il ne se contente pas de créer et de stocker des mots de passe complexes et aléatoires sous forme chiffrée. Il les synchronise également sur tous vos appareils. Pour déchiffrer votre coffre-fort numérique, il vous suffit d’un mot de passe principal que personne d’autre ne connaît. Notre guide sur les mots de passe mnémoniques peut vous aider à cet égard.

Ne stockez pas les mots de passe en texte clair

Quoi que vous fassiez, ne conservez jamais vos mots de passe dans des fichiers, des messages ou des documents. Ceux-ci n’offrent pas un chiffrement fiable assuré par un gestionnaire de mots de passe. De plus, ce genre de notes tombe immédiatement entre les mains des pirates informatiques si jamais vous attrapez un cheval de Troie ou un logiciel de vol d’informations.

Ne stockez pas vos mots de passe dans votre navigateur

De nombreux utilisateurs enregistrent leurs mots de passe dans leurs navigateurs, d’autant plus que ceux-ci leur proposent de le faire automatiquement. Malheureusement, les recherches montrent que les programmes malveillants ont évolué au point de pouvoir extraire ces mots de passe de tous les navigateurs courants en un clin d’œil. Kaspersky Password Manager peut vous aider à importer les mots de passe stockés dans votre navigateur favori : il vous suffit de suivre notre guide simple en trois étapes. Surtout, n’oubliez pas de vider le stockage des mots de passe du navigateur une fois l’importation terminée.

Passez aux clés d’accès

Dans la mesure du possible, utilisez des clés d’accès, un remplacement cryptographique des mots de passe. Dans cette configuration, le service stocke une clé publique, tandis que la clé privée reste sur votre appareil et n’est jamais transmise. Lors de la connexion, l’appareil se contente de signer une requête ponctuelle. De plus, les clés d’accès sont associées à un domaine particulier, ce qui signifie que les attaques de phishing utilisant de fausses adresses seront inefficaces. Kaspersky Password Manager vous permet de stocker à la fois vos mots de passe et vos clés d’accès, résolvant ainsi le problème de leur synchronisation entre différents écosystèmes, notamment Windows, Android, macOS et iOS.

Configurez l’authentification à deux facteurs

Activez l’authentification à deux facteurs dès que possible. Même si votre mot de passe venait à être compromis, une authentification à deux facteurs correctement configurée rendrait l’accès à votre compte extrêmement difficile pour un pirate. Pour une sécurité optimale, évitez les codes à usage unique envoyés par SMS et utilisez plutôt des applications d’authentification – et oui, Kaspersky Password Manager s’avère utile ici aussi.

Adoptez une bonne hygiène numérique

N’oubliez pas que stocker correctement vos mots de passe n’est que la moitié du chemin. Il est essentiel de respecter les règles d’hygiène numérique : évitez de télécharger des fichiers non vérifiés, des logiciels piratés, des codes de triche ou des cracks, et ne cliquez pas sur des liens au hasard. Le nombre d’attaques visant à voler des informations n’a cessé d’augmenter ces dernières années, ce qui signifie que vous avez besoin d’une solution de sécurité performante pour bénéficier d’une protection complète. Nous recommandons Kaspersky Premium : notre solution protège tous vos appareils contre les chevaux de Troie, le phishing et autres menaces. L’abonnement comprend également notre gestionnaire de mots de passe.

Si vous accordez une grande importance à la sécurité de votre compte, consultez notre série d’articles consacré aux mots de passe, aux clés d’accès et à l’authentification à deux facteurs :

• Les clés d’accès en 2025 : le guide complet de l’authentification sans mot de passe
• Clés d’accès en 2025 : conseils pour les utilisateurs expérimentés
• Créer un mot de passe inoubliable
• Comment créer des mots de passe forts et où les stocker ?
• Passer à Kaspersky : guide de migration pas à pas