Changer “admin” en “admin1” ou transformer “motdepasse” en “Motdepasse1” donne l’illusion d’un effort de sécurité. Pourtant, ce type de modification figure parmi les pratiques les plus risquées en matière de gestion d’identifiants. Une analyse récente met en lumière un comportement très répandu : au lieu de créer un mot de passe totalement distinct pour chaque service, de nombreux utilisateurs recyclent la même base en y apportant de légères variations.
Les chiffres illustrent l’ampleur du phénomène
Aux États-Unis, près de deux internautes sur trois admettent réutiliser leurs mots de passe sur plusieurs comptes. Le constat est similaire au Royaume-Uni et en Allemagne. En moyenne, un même mot de passe sert pour environ cinq services différents, et une minorité significative reconnaît l’utiliser pour dix comptes ou davantage. Le problème est bien connu, lorsqu’un seul identifiant est compromis, il peut servir de porte d’entrée vers d’autres espaces numériques, parfois sensibles.
La modification superficielle d’un mot de passe est devenue une habitude. Parmi ceux qui réutilisent leurs identifiants, une majorité explique qu’elle se contente d’ajouter ou de modifier un chiffre, une lettre ou un caractère spécial. Or ces transformations sont précisément celles que les logiciels d’attaque testent en priorité. Les pirates ne se contentent plus d’essayer un mot de passe brut, leurs outils appliquent automatiquement des variantes courantes, incrémentent les chiffres ou changent la casse pour multiplier les tentatives en quelques secondes.
Les exemples les plus fréquents confirment cette logique de facilité
Les suites numériques comme 12345 ou 12345678 restent omniprésentes, tout comme les déclinaisons autour du mot “admin”. Les combinaisons inspirées du clavier, les répétitions de chiffres ou de lettres, ou encore les mots simples accompagnés d’un nombre sont également largement représentés. À première vue, ces mots de passe peuvent sembler différents les uns des autres. En pratique, ils suivent des schémas très identifiables, que les bases de données de mots de passe divulgués permettent de cartographier.
Dans la liste des “200 mots de passe les plus courants 2025“, les chercheurs ont trouvé 119 mots de passe presque identiques, qui ont été divisés en sept groupes approximatifs :
- Variations de nombres séquentiels. Exemples : 12345, 123456, 1234567, 987654321.
- Variations de “Admin”. Exemples : admin, Admin, adminadmin, admin123.
- Variations de “mot de passe”. Exemples : motdepasse, Motdepasse1, m0td3p@ss3, M0td3p4ss3.
- Variations de motifs de clavier. Exemples : azerty, azerty123, abcd1234, Abcd@1234.
- Variations de motifs répétitifs. Exemples : 11111111, 111111111, aa112233, aabb1122.
- Variations de mots courants. Exemples : bonjour, Bonjour1, test123, Test@123.
- Variations de préfixe/suffixe. Exemples : a123456, Aa123456, Aa@123456, 12345678a.
Cette fragilité ne se limite pas à la sphère personnelle, en entreprise ces pratiques peuvent contourner certaines règles internes, puisqu’un mot de passe légèrement modifié respecte parfois formellement les exigences imposées. Cela complique la détection par les équipes informatiques. Le risque est alors plus large car un accès compromis peut servir de point d’appui pour déployer un rançongiciel, exfiltrer des données ou exercer un chantage.
Si ces comportements persistent, c’est aussi pour des raisons pratiques. Une part importante des internautes estime avoir trop de comptes à gérer pour mémoriser un mot de passe unique à chaque fois. Entre services professionnels, applications bancaires, plateformes de streaming, réseaux sociaux et sites marchands, le nombre d’identifiants s’accumule rapidement. Certaines estimations évoquent plusieurs centaines de mots de passe par personne. Dans ce contexte, la tentation de simplifier est forte, d’autant qu’une minorité d’utilisateurs continue de minimiser le danger.
Pour réduire les risques, plusieurs leviers existent, même s’ils ne sont pas infaillibles
La sensibilisation en entreprise peut limiter la réutilisation des identifiants, à condition qu’elle s’inscrive dans la durée. Les politiques internes peuvent aussi intégrer des contrôles automatiques empêchant l’usage de mots de passe déjà compromis ou trop proches de combinaisons connues. L’authentification multifacteur, qui impose une validation supplémentaire via un code temporaire ou un appareil de confiance, constitue aujourd’hui une protection efficace contre la prise de contrôle de comptes.
Les gestionnaires de mots de passe représentent une autre piste. En générant des combinaisons longues et aléatoires, puis en les stockant de manière sécurisée, ils évitent de s’appuyer sur la mémoire et réduisent la tentation des variantes prévisibles. Enfin, les clés d’accès, fondées sur la cryptographie et la biométrie des appareils, commencent à se déployer sur certaines grandes plateformes. Leur adoption reste progressive, mais elles pourraient à terme limiter le recours aux mots de passe traditionnels. Reste à savoir si ces solutions parviendront à modifier des habitudes bien ancrées.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
