Une analyse de Nordpass révèle que l’habitude courante d’apporter de petites modifications aux mots de passe existants, comme l’ajout d’un chiffre ou la modification d’un symbole dans un mot de passe existant, au lieu de créer un mot de passe unique, constitue un risque de sécurité considérable que les pirates exploitent facilement. Malgré les politiques de l’entreprise et la formation à la sécurité, cette pratique répandue consistant à utiliser des mots de passe presque identiques reste l’une des menaces les plus importantes et les plus sous-estimées, avertissent les experts en cybersécurité.
Ce comportement à risque est en effet répandu. L’enquête sur la réutilisation des mots de passe menée par NordPass révèle que 62 % des Américains, 60 % des Britanniques et 50 % des Allemands réutilisent leurs mots de passe sur plusieurs comptes en ligne. En moyenne, les internautes réutilisent leurs mots de passe pour environ cinq comptes, et un cinquième d’entre eux admettent les réutiliser pour 10 comptes ou plus.
« Cette habitude à risque, qui touche près de trois utilisateurs sur cinq, crée un effet domino de vulnérabilité, où un seul mot de passe compromis peut débloquer toute une vie numérique », explique Karolis Arbaciauskas, chef de produit chez NordPass.
Ajouter une lettre, un chiffre ou un symbole
Selon les données de l’enquête, 68 % des Américains qui réutilisent des mots de passe apportent au moins quelques modifications avant de les réutiliser. Il en va de même pour 62 % des Britanniques et 61 % des Allemands. La modification la plus courante consiste à ajouter ou à modifier un chiffre, un symbole ou une lettre.
« Une telle approche laxiste de la sécurité peut entraîner le vol de données ou un compte bancaire vidé, et beaucoup d’angoisse », explique Karolis Arbaciauskas. « Cependant, je dois reconnaître que cette pratique est un phénomène particulièrement dangereux dans l’environnement professionnel au regard des dommages qu’un malfaiteur pourrait causer. Parce que cela n’enfreint pas techniquement la plupart des politiques de mot de passe, et que cela passe souvent inaperçu pour les administrateurs. Cela peut alors devenir un point d’entrée pour les malfaiteurs, qui n’hésiteront pas à extorquer ou à faire chanter l’entreprise. »
Variations les plus courantes
Dans la liste des « 200 mots de passe les plus courants 2025 », les chercheurs ont trouvé 119 mots de passe presque identiques, qui ont été divisés en sept groupes approximatifs :
– Les variations de nombres séquentiels. Exemples : 12345, 123456, 1234567, 987654321.
– Les variations de « Admin ». Exemples : admin, Admin, adminadmin, admin123.
– Les variations de « mot de passe ». Exemples : motdepasse, Motdepasse1, m0td3p@ss3, M0td3p4ss3.
– Les variations de motifs de clavier. Exemples : azerty, azerty123, abcd1234, Abcd@1234.
– Les variations de motifs répétitifs. Exemples : 11111111, 111111111, aa112233, aabb1122.
– Les variations de mots courants. Exemples : bonjour, Bonjour1, test123, Test@123.
– Les variations de préfixe/suffixe. Exemples : a123456, Aa123456, Aa@123456, 12345678a.
Les groupes les plus nombreux sont les variations de nombres séquentiels, les variations de motifs de clavier et les variations de motifs répétitifs.
« Il ne s’agit que d’une ventilation approximative, basée sur des variantes des mêmes mots de passe. Cependant, en principe, les 200 mots de passe peuvent être classés dans certaines catégories prévisibles. Par exemple, lors de la compilation de la liste elle-même, nous avons remarqué que les noms et prénoms populaires, les noms de lieux, les jurons, les noms de marque et les équivalents de « mot de passe » dans diverses langues sont souvent utilisés comme mots de passe. Souvent avec des chiffres ou des caractères spéciaux ajoutés. Ces mots de passe semblent uniques, mais sont tous des schémas prévisibles. Les malfaiteurs le savent, et les outils de piratage automatisés qu’ils utilisent peuvent très certainement appliquer des transformations courantes, telles que l’ajout ou la modification de caractères et l’incrémentation de chiffres », explique Karolis Arbaciauskas.
Pourquoi les individus réutilisent-ils leurs mots de passe ?
Un tiers des internautes qui réutilisent leurs mots de passe disent le faire parce qu’ils ont trop de comptes pour parvenir à gérer des mots de passe différents pour chacun d’entre eux. Environ 25 % d’entre eux déclarent qu’il est peu pratique de créer et de gérer des mots de passe uniques.
« Les gens réutilisent leurs mots de passe parce que c’est plus facile. Entre les outils de travail, les applications financières, les abonnements, les réseaux sociaux, les achats en ligne et les jeux, le nombre de comptes s’accumule rapidement. Une personne moyenne possède environ 170 mots de passe. Se souvenir de mots de passe uniques pour chacun d’eux n’est pas réaliste. Mais il est inquiétant de constater que, malgré des avertissements répétés, environ 10 % des personnes interrogées ne pensent toujours pas qu’il y a un risque important à réutiliser des mots de passe. Cet état d’esprit est une bombe à retardement. Les malfaiteurs pourraient accéder à tous vos comptes, votre identité pourrait être usurpée et votre carte bancaire pourrait être débitée à son maximum, ou un prêt pourrait être contracté en votre nom. Dans un contexte professionnel, ce comportement pourrait coûter des millions, si vous laissez un rançongiciel s’introduire », explique Karolis Arbaciauskas.
Comment mieux sécuriser les mots de passe
Selon Karolis Arbaciauskas, quelques règles générales peuvent considérablement améliorer l’hygiène numérique et contribuer à éviter d’être victime de cyberattaques en raison d’une gestion inefficace des mots de passe :
– Former à la sécurité
De nombreuses entreprises le font déjà. Bien que cela ne fonctionne pas toujours (parfois même les professionnels de la cybersécurité se font prendre au piège), la formation porte ses fruits. Les entreprises qui organisent régulièrement des ateliers sur la sécurité connaissent moins de cas de réutilisation des identifiants, et les employés appliquent souvent ces connaissances dans leur vie personnelle.
– Définir les politiques et technologies de mots de passe
Les entreprises doivent disposer de politiques de mot de passe efficaces. Dans l’idéal, il faudrait que le système de l’entreprise compare automatiquement les mots de passe nouvellement créés avec ceux déjà divulgués sur le Dark Web et empêche la création d’un mot de passe identique ou très similaire à celui déjà divulgué. Il est préférable d’utiliser des générateurs de mots de passe pour les comptes personnels et professionnels.
– Privilégier l’authentification multifacteur (MFA)
Jusqu’à présent, il s’agit du moyen le plus fiable et le plus pratique d’assurer une protection supplémentaire pour les comptes professionnels et personnels. La MFA, qui vous oblige à fournir un code à usage unique lors de la connexion, peut empêcher la prise de contrôle du compte même lorsque les malfaiteurs disposent de votre mot de passe.
– Utiliser un gestionnaire de mots de passe
Cet outil vous aide à générer, stocker, gérer et partager des mots de passe en toute sécurité. Un gestionnaire de mots de passe supprime le besoin de se fier à la mémoire. Au lieu d’essayer de trouver quelque chose d’intelligent ou de facile à retenir, il crée des mots de passe longs et aléatoires qui ne suivent pas de schémas. Et vous n’avez pas besoin de vous en souvenir, puisqu’il suffit de les remplir automatiquement ou de les copier-coller.
– Envisager les clés d’accès
Une clé d’accès associe la cryptographie à clé publique à la biométrie de l’appareil, il n’y a donc rien à saisir, rien à oublier et rien à réutiliser. Bien que leur adoption soit un peu plus lente que prévu, de nombreuses plateformes majeures les prennent déjà en charge. Lorsque les clés d’accès ne sont pas disponibles, activez la MFA.