L'éditeur de gestionnaire de mots de passe Keeper Security a publié le palmarès des mots de passe les plus vulnérables de l'année 2016.

Crédit : Flickr

par Benjamin Hue publié le 17/01/2017 à 16:12

En matière de comportements insouciants, les années se suivent et se ressemblent sur la toile. Il y a douze mois de cela, l’éditeur SplashData publiait le palmarès des mots de passe les plus fréquemment utilisés en ligne, et donc, par ricochet, les moins sécurisés. Comme en 2014 et 2013, "123456" étaient alors le plus populaire. Rien n’a changé en 2016 : ces six caractères constituent toujours le premier sésame pour les hackers.



Cette année, l’étude émane de l’éditeur Keeper Security, qui a procédé selon la même méthodologie que ses prédécesseurs, à savoir l’examen de 10 millions de mots de passe rendus publics à l’occasion de vols de données personnelles tout au long de l’année. Le premier enseignement est que 17% des comptes compromis étaient protégés par la suite de chiffres "123456". Ce mot de passe-partout est suivi par le célèbre "qwerty" et plusieurs variantes chiffrées du pavé numérique.



Le top dix des mots de passe les plus vulnérables :



1. 123456

2. 123456789

3. qwerty

4. 12345678

5. 111111

6. 1234567890

7. 1234567

8. password

9. 123123

10. 987654321



Au total, sur les 10 millions de comptes compromis pris en compte pour l’étude, plus de la moitié étaient simplement protégés par l’un des 25 mots de passe les plus communs. "La liste des mots de passe les plus utilisés ne changent quasiment pas d’une année sur l’autre. Cela montre qu’il reste encore du travail pour éduquer les internautes aux bases de la sécurité informatique", regrettent les chercheurs. Entre le scandale des mails du chef de campagne de Hillary Clinton, les piratages massifs de Yahoo! et AshleyMadison et les nombreux détournements d'objets connectés, les mises en garde n'ont pourtant pas manqué ces derniers mois.

Comment bien choisir un mot de passe

D'une manière générale, il est avant tout préconisé d'utiliser un mot de passe différent pour chaque site. Un seul accès sera alors vulnérable en cas de compromission d'un compte. Dans un avis publié en 2014, la Commission nationale de l'informatique et des libertés (Cnil) recommande de construire un mot de passe fort, faisant au moins huit caractères et composé d'au moins trois types de caractères différents parmi les quatre existants (majuscules, minuscules, chiffres et caractères spéciaux). Il ne doit pas avoir de lien avec son détenteur (nom ou date de naissance par exemple).



Des moyens mnémotechniques peuvent être utilisés pour créer des mots de passe complexes. La Cnil suggère par exemple de ne conserver que les premières lettres des mots d'une phrase, de mettre une majuscule si le mot est un nom, de garder les signes de ponctuation et d'exprimer les nombres en chiffres. Ainsi, la phrase, "Un utilisateur d'Internet averti en vaut deux" donnera le mot de passe 1Ud'Iaev2.



Reste ensuite à s'en souvenir. Là encore, certaines précautions s'imposent. Il ne faut pas stocker ses mots de passe dans un fichier texte sur son ordinateur et ne pas les envoyer sur sa messagerie personnelle. Il est aussi recommandé de supprimer les messages envoyés par messagerie lors de la création d'un compte et de configurer les logiciels afin qu'ils ne se souviennent pas des mots de passe.



Une fois ces principes respectés, l'utilisation d'un gestionnaire de mots de passe peut ensuite permettre de constituer une base de données chiffrée par un unique mot de passe "maître" afin de n'avoir à retenir qu'un seul identifiant pour accéder à tous les autres. Parmi les nombreuses solutions disponibles sur le marché, la Cnil recommande Keepass, Passreminder et Passwordsafe, des logiciels libres régulièrement mis à jour. Il est aussi indispensable de disposer d'une copie de sa liste de mots de passe sur une clé USB ou sur un support physique conservé dans une endroit sûr.