Steven LafortuneL’édition 2025 du rapport de NordPass « Top 200 des mots de passe les plus courants » est maintenant disponible. Les mots de passe faibles et prévisibles sont encore utilisés partout, et les mêmes schémas familiers continuent de réapparaître.
À propos du rapport
Le rapport de cette année repose sur un effort conjoint de NordPass et de NordStellar, préparé avec des chercheurs indépendants en incidents de cybersécurité. Ils ont analysé des violations de données publiques récentes et des dépôts du dark web de septembre 2024 à septembre 2025, puis ont organisé les résultats provenant de 44 pays. Pour la première fois, ils ont également examiné les habitudes en matière de mots de passe par génération, en utilisant les métadonnées disponibles pour associer les mots de passe à des groupes d’âge.
Le top 10
« 123456 » arrive une fois de plus en tête de la liste mondiale des mots de passe les plus courants. Il détient cette distinction peu enviable depuis six des sept dernières années. Le reste du top 10 est composé de :
- admin
- 12345678
- 123456789
- 12345
- password
- Aa123455
- 1234567890
- pass@123
- admin123
Les schémas qui reviennent sans cesse
Il n’est pas nécessaire d’avoir une équipe d’analystes pour constater que certains schémas et thèmes sautent aux yeux :
- Comptage croissant : 12345, 123456, 12345678, 1234567890
- Mots courants et variations : « password », « pass »
- Noms suivis de chiffres : combinaisons du type « prénom + 123 »
- « Fausse complexité » : remplacement de lettres par des symboles de façon prévisible (p. ex. : « P@ssw0rd »)
Les mauvais mots de passe n’ont pas d’âge
L’une des constatations les plus intéressantes du rapport est la similitude des choix de mots de passe entre les groupes d’âge. Les chercheurs ont constaté qu’un mauvais choix de mots de passe est courant dans toutes les générations, et que « 12345 » et « 123456 » apparaissent en tête ou près du sommet dans chaque groupe.
Dans cette optique, l’examen des différences générationnelles est éclairant, car il donne des indices sur les raisons pour lesquelles les mots de passe faibles persistent :
- La génération Z est la plus susceptible de s’inspirer de la culture populaire et de l’argot en ligne pour ses mots de passe (p. ex. : « skibidi »).
- Les millénariaux et la génération X sont moins désinvoltes que la génération Z, mais s’appuient tout de même sur des structures prévisibles et cherchent souvent à respecter les règles de mots de passe avec un minimum d’effort (p. ex. : « Aa123455 » ou « pass@123 »).
- Les baby-boomers et les utilisateurs plus âgés ont davantage tendance à utiliser des mots familiers, des noms ou de simples suites de chiffres, ce qui peut refléter une préférence pour le confort et la mémorisation plutôt que pour la complexité.
La conclusion n’est pas qu’une génération est « pire » qu’une autre en matière de choix et d’habitudes de mots de passe. C’est que chaque génération a sa propre version de la même stratégie d’adaptation : en général, les gens choisissent ce qu’ils peuvent retenir, et le choisissent de manière facile à deviner.
Cette approche résiste mal aux attaques modernes par devinette, surtout lorsque les attaquants peuvent essayer rapidement d’énormes volumes de mots de passe probables, puis réutiliser ceux qui fonctionnent par le biais du bourrage d’identifiants sur d’autres sites.
La voie à suivre
Comme de nombreux professionnels des TI le savent par une longue (et pénible) expérience, si la solution à ce problème généralisé repose sur une amélioration soudaine et radicale des habitudes de mots de passe des utilisateurs finaux, elle échouera. Les utilisateurs finaux ont toujours été, sont et seront toujours le maillon faible de la chaîne de sécurité, et les mots de passe demeurent le vecteur le plus vulnérable de la surface d’attaque. S’attendre à ce que cela change n’est pas une bonne pratique : c’est de la pensée magique.
Par conséquent, l’accent doit être mis sur des politiques et des outils qui empêchent les pires choix, rendent les bons choix et les bonnes habitudes aussi faciles que possible, et limitent les dégâts lorsque les attaquants finissent inévitablement par passer à travers.
Voici six stratégies pour combler l’écart et réduire les risques :
1. Faciliter la création d’identifiants forts dès la conception
Autorisez les mots de passe longs et les phrases de passe, et évitez les règles de complexité rigides qui poussent les gens vers des schémas prévisibles (comme « pass@123 » ou « Aa123455 »). Accompagnez cela de directives claires telles que « utilisez une courte phrase facile à retenir » afin d’encourager des mots de passe plus robustes avec moins de frustration.
2. Bloquer les mots de passe notoirement mauvais avant même leur création
Ajoutez des contrôles de mots de passe interdits qui rejettent les mots de passe les plus courants et compromis, y compris leurs variations. Cela bloque « 123456 », « password » et « admin123 » dès le départ et empêche les utilisateurs de choisir quelque chose que les attaquants devinent déjà en premier.
3. Imposer l’unicité et réduire la réutilisation avec un gestionnaire de mots de passe
Rendez les mots de passe uniques non négociables et soutenez cette exigence à l’aide d’un gestionnaire de mots de passe afin que les utilisateurs n’aient pas à mémoriser des dizaines d’identifiants. C’est l’un des moyens les plus efficaces de mettre fin au bourrage d’identifiants.
4. Mettre en place l’authentification multifacteur (AMF)
Si le déploiement de l’AMF partout est trop ambitieux pour le moment, priorisez les comptes administratifs, les systèmes financiers, les plateformes de RH et l’accès à distance. Il s’agit généralement des comptes que les attaquants ciblent pour infliger un maximum de dommages.
5. Détecter et corriger rapidement les expositions
Remplacez rapidement les identifiants faibles ou réutilisés connus, en particulier pour les comptes privilégiés et à fort impact (comme mentionné au point 4). Combinez cela à une surveillance des identifiants compromis et à des alertes lorsqu’un mot de passe réutilisé apparaît dans des données divulguées, afin qu’il puisse être réinitialisé avant que les attaquants n’en profitent.
6. Réduire progressivement l’usage des mots de passe grâce à des connexions résistantes à l’hameçonnage
Lorsque cela est pertinent, passez aux clés d’accès. Cela élimine le secret réutilisable de l’équation et rend beaucoup plus difficile pour les attaquants de voler quelque chose qu’ils pourraient exploiter ailleurs.
Le mot de la fin
La plus récente liste de NordPass des mots de passe les plus courants n’est pas troublante parce qu’elle est surprenante. Elle est alarmante parce qu’elle est familière.
Lorsque les organisations se concentrent sur la réduction des frictions, la normalisation des bons contrôles et la superposition de protections comme l’AMF et les clés d’accès, elles cessent de miser sur un comportement parfait des utilisateurs et commencent à bâtir une véritable résilience.
