Palmarès des mots de passe 2015
Comme chaque année, Splashdata dévoile les mots de passe les plus utilisés par les internautes, une liste qui est le fruit de données volées et rendues publiques. Sans surprise, « 123456 » et « password » se disputent toujours les deux premières places. Mais ce palmarès 2015 révèle aussi l’influence de Star Wars dans le choix des internautes.
Tous les ans à la mi-janvier, nous attendons avec impatience la réponse à cette question : l’humanité a-t-elle enfin compris que la plus grande des failles informatiques était un mot de passe trop simple à trouver ? Mais cette fois encore, la déception est au rendez-vous : ces satanés « 123456 » et « password » trônent encore, là, tout en haut du classement.
Évidemment, on peut modérer ce sentiment en rappelant que la liste en question est obtenue en étudiant « seulement » deux millions de mots de passe échappés dans la nature. Comparé aux près de trois milliards d’internautes dans le monde, qui possèdent chacun plusieurs mots de passe (si, si, ça existe), cela reste faible.
Mais l’échantillon demeure représentatif, et on peut malheureusement imaginer que dans notre entourage proche, certains utilisent encore 12345678 (troisième du classement) ou même 12345 (qui rétrograde en cinquième position).
La tête de ce classement 2015 s’éloigne assez peu de celle du palmarès 2014, mais laisse tout de même de la place pour quelques nouveautés, dont le très original « welcome », directement propulsé en onzième position, immédiatement suivi par un autre promu, le très complexe « 1234567890 ».
Enfin, on note l’influence de la sortie de l’épisode 7 de Star Wars sur ce millésime 2015 : « princess » (en 21e position) et « solo » (23e) peuvent le laisser penser, alors que « starwars » (25e) ne laisse pas de place au doute.
Le classement en question :
1. 123456 (-)
2. password (-)
3. 12345678 (+1)
4. qwerty (+1)
5. 12345 (- 2)
6. 123456789 (-)
7. football (+3)
8. 1234 (-1)
9. 1234567 (+2)
10. baseball (-2)
11. welcome (nouveau)
12. 1234567890 (nouveau)
13. abc123 (+1)
14. 111111 (+1)
15. 1qaz2wsx (nouveau)
16. dragon (-7)
17. master (+2)
18. monkey (-6)
19. letmein (-6)
20. login (nouveau)
21. princess (nouveau)
22. qwertyuiop (nouveau)
23. solo (nouveau)
24. passw0rd (nouveau)
25. starwars (nouveau)
Mots de passe : la sécurité vous tient hacker
password, admin, 123456, abcdef, qwerty, j’en passe et des meilleures… Voilà des mots de passe encore bien utilisés si l’on en croit le palmarès 2013 des 25 mots de passe les plus fréquents (publié par la société SplashData, éditrice de logiciels). Mais de véritables passoires en termes de sécurité ! A l’heure du cloud et des services Web qui numérisent toujours un peu plus nos vies, la vigilance ne saurait souffrir de négligences. De l’importance de sécuriser ses mots de passe, nous vous expliquons le pourquoi et le comment.
On a beau être d’un naturel plutôt stoïque, la lecture du rapport P@$$1234: the end of strong password-only security publié en janvier 2013 par le cabinet d’expertise Deloitte donne tout de même quelques sueurs froides… Il s’appuie sur un travail intéressant de Mark Burnett (du site Xato.net), lequel a décortiqué une liste de 6 millions de duos login plus mot de passe uniques pour en extraire des statistiques.
98,8 % de cette base d’utilisateurs emploient les 10 000 mots de passe les plus fréquents ;
91 % se concentrent sur 1 000 mots de passe ;
40 % font avec 100 mots de passe ;
14 % (soit 840 000 personnes tout de même) piochent dans le top 10 !
Et le problème de ces mots de passe ultra bateau, dont « password » et « 123456 », c’est qu’ils représentent le degré zéro de sécurité, puisqu’ils seront les premiers à être testés par tout hacker qui se respecte. Le souci de sécurité n’est visiblement pas encore rentré dans toutes les têtes…
Pour mieux se protéger de l’ennemi, il faut tenter de le comprendre. Comment les hackeurs fonctionnent dans les grandes lignes ? Quatre scenarii sont à envisager : le piratage en direct, le vol de bases de données, le phishing (ou plus globalement le social engineering précise Paul Rascagnères, analyste malware chez l’éditeur d’antivirus G DATA) et les virus. Le premier, qui consiste à tester tous les mots de passe possibles et imaginables dans une interface de connexion sur la base d’un identifiant connu, n’est plus possible aujourd’hui ou très rarement. Cela, parce que la grande majorité des sites sérieux bloquent les comptes au bout de quelques tentatives ratées, trop peu nombreuses même pour un mot de passe évident (quoique avec password et 123456…).
Non, le gros des dangers tient dans le vol, les virus et le social engineering. Pour ce dernier, une sorte de vol avec consentement non éclairé, la complexité d’un mot de passe n’a pas d’intérêt : le hackeur se fait passer pour quelqu’un d’autre (email, coup de fil ou faux site officiel), et s’il parvient à duper l’utilisateur, il en profite pour récupérer ses identifiants, en clair. La pratique est courante, les données sont ensuite utilisées ou revendues sur des marchés parallèles. Le seul remède dans ce cas, c’est la vigilance. Idem pour l’aspect virus, un malware avec keylogger peut intercepter vos saisies au clavier ou chiper les identifiants stockés dans le navigateur par exemple : votre ordinateur doit être protégé par un antivirus, à jour, et en programmant des analyses régulières.
Nous peinerions à retenir plus de sept chiffres dans notre mémoire à court terme ?
Le remède est simple, sa mise en oeuvre plus délicate. D’après une étude de l’Université de Toronto que cite le rapport Deloitte, les êtres humains limités que nous sommes peinerions à retenir plus de sept chiffres dans notre mémoire à court terme, et même plus que cinq en prenant de l’âge. L’ajout de symboles, de lettres majuscules et minuscules produirait un mix encore moins aisé à retenir. Le rapport se fait plus accablant en ajoutant que la nature humaine a tendance à suivre des schémas de pensée limités par rapport aux possibilités offertes. La majuscule ? En première position dans les mots. Les chiffres ? À la fin. Des 32 symboles présents sur un clavier américain ? Une demi-douzaine seulement est utilisée. De quoi rendre l’aléa théorique plus prédictif pour les hackers. Rien de nouveau cependant. A moins que…