Les mots de passe les plus piratés en 2024 dévoilés
Le chiffre fait froid dans le dos : 1.089.342.532 mots de passe ont été volés en 2024. Oui plus d‘un milliard au cours des douze derniers mois ! C’est ce que révèle le rapport Specops qui vient d’être publié. Le fournisseur de solutions de gestion de mots de passe et d’identification tire la sonnette d’alarme et invite les internautes à renforcer leurs identifiants sur le Web.
Conscients mais pas prudents
Qui ne s’est jamais fait pirater un compte sur Internet ? En France, 24 % de nos compatriotes déclarent avoir ainsi été victimes d’un piratage en 2024 (source : cybermalveillance.gouv.fr).
La pratique, qui va du « simple » compte Instagram piraté (qu’il est souvent bien compliqué de débloquer !), à ce qu’il faut bien appeler « braquage » de comptes bancaires, est souvent la conséquence de mots de passe volés. Et en la matière, il semblerait que nous ne soyons toujours pas assez prudents : mots de passe trop faibles, utilisations du même mot de passe sur plusieurs comptes… autant de critères qui facilitent le sale boulot des cybercriminels.
Complexes mais vulnérables
Constat, selon le rapport Specops, certains mots de passe apparaissent ainsi toujours « avec une régularité déprimante » : 123456 (volé 3,7 millions de fois en 2024) ; admin (1,9 million) ; 12345678 (1,5 million) ; password (558.000 fois), ou bien Password (474.000). Ce qui ne veut pas dire que les mots de passe plus compliqués ne sont pas volés.
Ainsi, Specops précise que parmi le milliard de mots de passes volés l’an passé, 230 millions peuvent être considérés comme étant complexes, répondant par là même aux exigences pourtant mises en avant. À savoir, celles d’un mot de passe de huit caractères minium, comportant une majuscule, un chiffre et un caractère spécial.
Mais problème : ces 230 millions de mots de passes complexes sont souvent basés sur des mots de passe simples, artificiellement « ajustés » en leur ajoutant des majuscules, des chiffres ou des caractères spéciaux, « à des endroits prévisibles », souligne le rapport.
Exemple : a123456 ; Admin@123 ; qwerty12345… Ainsi, ces mots de passe peuvent-ils être facilement devinés dans le cas « d’attaques de mot de passe par force brute ». La technique est simple : les cybercriminels testent toutes les combinaisons possibles à travers d’innombrables tentatives de connexion, jusqu’à ce que le bon mot de passe soit identifié.
Parmi les outils communément utilisés, le logiciel nommé Redline serait par ailleurs le plus prisé des hackers pour le vol de mots de passe. Il est notamment utilisé pour cibler les gamers et plus particulièrement ceux équipés de GPU (ou processeurs graphpuissants) . Une charge utile du logiciel va s’insinuer sur les machines des joueurs par le biais d’un téléchargement, puis collecter et exporter leurs identifiants, portefeuilles de cryptomonnaies et données financières…
Notre dossier «Cybercriminalité»
Quelles règles pour se prémunir ?
Reste qu’il est aujourd’hui capital pour se prémunir de privilégier les mots de passe (très) longs et forts. Autre astuce : ne jamais utiliser de mot de passe personnel dans le cadre professionnel. Éviter forcément de réutiliser le même mot de passe plusieurs fois. Selon Specops, 91 % des utilisateurs déclarent comprendre les risques liés à l’utilisation des mêmes mots de passe sur plusieurs comptes, mais 59 % le font malgré tout…
Enfin, opter dès que possible pour une identification multifactorielle (MFA). Celle-ci exige des utilisateurs de prouver leur identité en fournissant au moins deux facteurs d’authentification indépendants avant d’accéder à un système, une application ou un compte en ligne. Elle permettrait, selon Microsoft, d’empêcher 99,9 % des attaques ciblant nos comptes…
Specops, qui veut évidemment vanter son outil de détection de vulnérabilité liée aux mots de passe (Specops Password Auditor) suggère sinon d’utiliser l’intelligence artificielle, comme ChatGPT. Objectif : générer une liste de mots de passe courts et prévisibles (afin de les bannir). Puis des suggestions de mots de passe basés sur des termes spécifiques, propres à notre personnalité. Selon le fournisseur de solutions de gestion de mot de passe et d’identification, « cela permet de créer un dictionnaire complet et robuste, qui peut être affiné périodiquement ».
