68% des mots de passe modernes craqués en 24 heures

À l'occasion de la Journée mondiale du mot de passe, le 7 mai 2026, une analyse de Kaspersky portant sur 231 millions de mots de passe uniques divulgués entre 2023 et 2026 dresse un tableau alarmant de la sécurité numérique. Selon cette étude, 68 % des codes récents peuvent être forcés en moins de 24 heures, preuve que les utilisateurs persistent à adopter des schémas faibles et prévisibles malgré une sensibilisation accrue.

Le rapport indique que la majorité des mots de passe compromis commencent ou se terminent par des chiffres, une habitude qui les expose davantage aux attaques par force brute et par devinette. Parmi les découvertes surprenantes, l'utilisation du terme « Skibidi », lié à une tendance internet, a bondi de 36 fois dans les mots de passe au cours des deux dernières années.

Schémas dangereux et facilement piratables

Les experts en sécurité ont identifié plusieurs motifs récurrents dans les codes vulnérables :

• 53 % des mots de passe se terminent par des chiffres.
• 17 % commencent par des chiffres.
• 12 % contiennent des dates ou des séquences temporelles prévisibles.
• 3 % reposent sur des suites de clavier comme « 1234 » ou « qwerty ».

L'emploi de symboles simples tels que « @ » ou « ! » demeure fréquent, mais n'offre qu'une protection illusoire lorsqu'ils s'inscrivent dans des schémas faciles à anticiper.

Pourquoi ces mots de passe sont-ils si vulnérables ?

D'après les spécialistes de Kaspersky, les attaques par force brute testent des millions de combinaisons en un temps record. En connaissant à l'avance les habitudes des utilisateurs, les pirates accélèrent considérablement le processus. Les experts soulignent que des mots uniques ou des motifs répétitifs peuvent être cassés en quelques minutes, voire en quelques heures.

La solution : des codes plus longs et plus aléatoires

Les experts recommandent d'utiliser des « phrases de passe » (passphrases) composées de plusieurs mots sans lien logique, en y insérant des symboles et des chiffres de manière imprévisible, plutôt que des mots courts ou traditionnels. Ils insistent également sur :

• L'emploi de mots de passe entièrement aléatoires.
• L'évitement des dates et des termes courants.
• L'activation de l'authentification à deux facteurs (2FA).
• L'utilisation d'un gestionnaire de mots de passe fiable.

Même les longs mots de passe ne suffisent plus

Contrairement à une idée répandue, la longueur seule ne garantit plus la sécurité. Les progrès de l'intelligence artificielle permettent désormais de craquer certains codes longs s'ils reposent sur des schémas prévisibles. Les données montrent que les mots de passe de moins de 8 caractères peuvent être forcés en moins de 24 heures, tandis que plus de 20 % de ceux atteignant 15 caractères peuvent l'être en moins d'une minute s'ils manquent d'aléatoire.

Face à l'évolution des outils de piratage et de l'IA, il ne suffit plus de respecter les critères classiques de création de mots de passe. Une refonte complète de la méthode de conception s'impose pour protéger les données personnelles et les comptes numériques.