Malgré les menaces croissantes, les mots de passe utilisés sont toujours aussi faibles

Dans une ère où la sécurité numérique est la cible de menaces de plus en plus redoutables, l'étude annuelle de NordPass, qui fête cette année ses vingt ans, révèle que la prise de conscience, notamment au niveau des mots de passe, n'est pas encore arrivée. L'éternel « 123456 » demeure le sésame le plus utilisé, devançant de nombreuses incongruités.

En 2023, le panthéon des mots de passe en France semble s'inspirer davantage d'un livre pour enfants apprenant à compter que d'un guide de cybersécurité. C'est en tout cas ce que révèle la nouvelle enquête de NordPass, le spécialiste de la sécurité en ligne, qui étudie les habitudes des internautes dans ce domaine depuis vingt ans maintenant. En tête de liste, le célèbre « 123456 », suivi de ses cousins germains, « 123456789 » et « 12345678 ». On y trouve aussi des hommages à l'alphabet avec « azerty » et « qwerty », des clins d'œil nostalgiques comme « password » et « 123123 », et même des tentatives de subtilité avec « 111111 » et « 123321 ». Il y a même les sentimentaux « doudou » et « loulou » qui figurent en bonne place. Pour la plupart, ces mots de passe ne demandent que quelques secondes pour être cassés par le premier logiciel spécialisé venu. Face à l'explosion des menaces numériques, les usagers semblent baisser les bras et crier en chœur : « Allez, entrez, je n'ai rien à cacher ! ». Après tout, se souvenir d'un mot de passe comme « xP$3#v@8Yz » demande presque un entraînement de mémoire digne d'un participant à l'épreuve de mathématiques des Chiffres et des lettres. Pourtant, si cette tendance prête à sourire, elle soulève des questions sérieuses sur l'approche de la sécurité numérique des internautes.

Une perception biaisée ?

L'étude de NordPass révèle une autre tendance qui soulève des interrogations : la force et la complexité des mots de passe varient significativement selon le type de compte en ligne. Cette distinction souligne une psychologie intéressante chez les utilisateurs quant à la perception de la valeur de leurs comptes. Pour les comptes bancaires et professionnels, où le risque de dommage financier ou de perte de données sensibles est élevé, les utilisateurs semblent privilégier des mots de passe plus complexes et sécurisés. En revanche, pour des pratiques jugées moins critiques, telles que les plateformes de streaming ou les réseaux sociaux, la tendance est à l'emploi de mots de passe simplistes et répétitifs. Cette pratique peut s'expliquer par plusieurs facteurs. D'une part, la fréquence d'utilisation élevée de ces services incite à privilégier la commodité et la facilité d'accès. D'autre part, les utilisateurs peuvent sous-estimer les risques associés à ces plateformes, les percevant comme moins précieux ou moins susceptibles d'être ciblés par des cyberattaques. Cette perception est erronée. Les profils des médias sociaux, par exemple, contiennent souvent des quantités substantielles d'informations personnelles qui, si elles sont compromises, peuvent être exploitées pour des usurpations d'identité ou d'autres formes de fraude aux conséquences désastreuses. Il est essentiel que les utilisateurs comprennent que même les comptes apparemment anodins peuvent servir de point d'entrée pour des attaques plus sophistiquées. Cela nécessite une éducation continue sur l'importance d'adopter des pratiques de sécurité robustes pour tous les types de comptes en ligne, indépendamment de leur valeur perçue immédiate. La sécurité en ligne ne doit pas être abordée de manière fragmentée, mais plutôt comme un ensemble cohérent de pratiques qui protègent l'intégralité de l'empreinte numérique d'un individu. L'étude révèle tout de même que, bien qu'encore balbutiante, la prise de conscience fait son chemin. Les passkeys, ces mots de passe d'un nouveau genre qui associent plusieurs méthodes de vérification ou encore l'authentification à deux facteurs, gagnent en popularité.