Il y a tout juste un an, l'éditeur SplashData nous expliquait que le mot de passe le moins sécurisé de 2015 n'était autre que "123456". En 2016, les choses n'ont guère changé — ces six caractères sont toujours le premier passe-partout des hackers. Cette fois, l'étude est à mettre au crédit de l'éditeur Keeper Security, qui a toutefois procédé de la même manière que ses homologues les années précédentes. L'examen a porté sur 10 millions de mots de passe rendus publics tout au long de l'année 2016. Et la première conclusion fait peur : près de 17 % des comptes compromis l'année dernière étaient protégés par un simple "123456". Bien sûr, cela ne veut pas dire qu'un internaute sur six a recours à ce bien piètre sésame. Il s'agit, après tout, d'un échantillon a priori particulièrement vulnérable. Mais cela reste inquiétant à plus d'un titre.

 

En effet, on ne peut que constater à quel point certains internautes prennent leur sécurité à la légère. Mais on observe, également, que les administrateurs de sites — pourtant familiers avec l'informatique — peuvent être tout aussi laxistes. Alors, naturellement, il serait absurde d'attendre d'un forum dédié à la pêche à la mouche qu'il impose des mots de passe de 15 caractères avec trois types de caractères distincts — ce qui serait, par contre, tout à fait indiqué pour le site d'une banque. Mais une suite aussi simple que "123456" ou "123456789" ne devrait jamais pouvoir faire office de mot de passe. Et il en va de même pour les grands classiques que sont "qwerty", "azerty" et consorts. Keeper Security le rappelle : avec un logiciel dédié, il ne faut que quelques secondes à un hacker pour faire sauter un verrou aussi faible. Or, sur les 10 millions de comptes compromis pris en compte pour l'étude, "plus de 50 %" étaient simplement protégés par des sésames de cet acabit (le top 25 2016).

Sans plus de cérémonie, voici le classement. Notez que les quelques mots de passe à l'air robuste sont attribués, non pas à des particuliers, mais à des bots, qui les utilisent a priori de manière systématique pour ouvrir des comptes notamment destinés au spam. C'est ce qui explique le nombre d'occurrences suffisant pour faire une percée au palmarès.