- 123456 était le mot de passe le plus divulgué en 2025, suivi de admin et 123456789.
- Les noms d'animaux, de conjoints et d'enfants sont très utilisés et faciles à deviner.
- Ajouter 1! ou @123 à un mot courant ne le sauve pas. Les outils testent ces variations en premier.
- Si vous reconnaissez un de vos mots de passe dans la liste, changez le partout avant la fin de l'article.
Chaque année, les chercheurs analysent des milliards de mots de passe tirés de vraies fuites et publient les plus courants. Chaque année, la liste se ressemble presque à l'identique. 123456, password, admin, qwerty. Le haut bouge à peine.
Cet article est votre raccourci. Si votre mot de passe est sur cette liste, ou en approche, vous n'êtes pas protégé. Remplacez le avant la fin de la journée.
Les pires de 2025
NordPass, en collaboration avec NordStellar, a analysé les mots de passe fuités de 44 pays entre septembre 2024 et septembre 2025. Le top global pour l'année:
123456admin123456781234567891234Autres entrées du top 20: 12345, password, 123, Aa123456, 1234567890, UNKNOWN, 1234567, password1, P@ssw0rd, qwerty123, iloveyou, welcome, monkey, letmein, et football.
Tous se cassent en moins d'une seconde par les outils automatisés. Tous apparaissent dans toutes les listes d'attaque par dictionnaire. Tous sont la première chose tentée dans les campagnes de credential stuffing.
Les motifs que les attaquants connaissent par cœur
Au delà des entrées évidentes, certains motifs reviennent. Des chercheurs ayant analysé 15 milliards de mots de passe fuités ont trouvé:
- Environ une personne sur 30 utilise son année de naissance.
- Les années 1975 à 2010 apparaissent chacune dans au moins 3 millions de mots de passe.
- Ajouter un nombre de 0 à 99 à la fin est si courant que c'est une fonction des outils de cassage, pas une défense.
- Le chiffre
1seul est le plus populaire en fin de mot, utilisé par environ une personne sur cinq.
Mettre la première lettre en majuscule, échanger o pour 0, remplacer a par @, finir par !: tout ça est sur la liste standard des mutations que tout programme de cassage essaie automatiquement. P@ssw0rd1! n'est pas une variation astucieuse. C'est une des premières choses testées.
Données personnelles: la fuite silencieuse
Noms, dates de naissance, équipes sportives, animaux. Ils n'apparaissent pas dans les listes globales parce qu'ils varient par personne, mais la recherche montre qu'ils sont extrêmement courants dans les choix réels.
L'étude Google et Harris Poll a trouvé:
- 33% des utilisateurs incluent le nom d'un animal.
- 22% utilisent leur propre nom.
- 15% incluent le nom du conjoint.
- 14% incluent le nom d'un enfant.
Pour les Canadiens, ajoutez: équipes de hockey, noms de villes, codes postaux, et références à des lieux canadiens connus. Habs2024, Toronto1! et Canada150 sont tous faibles pour la même raison: prévisibles, dans les dictionnaires, et liés à de l'information publique sur les Canadiens.
Si un étranger pourrait deviner votre mot de passe en lisant vos 20 dernières publications, changez le.
Et les mots de passe par défaut?
Chaque routeur, appareil intelligent et panneau d'admin arrive avec un mot de passe par défaut. admin. password. changeme. 12345. Les fabricants savent que les utilisateurs les changent rarement, et c'est pourquoi des botnets comme Mirai ont atteint des centaines de milliers d'appareils en exploitant les identifiants par défaut.
Si vous installez un routeur, une caméra connectée ou tout appareil IoT, changez le mot de passe par défaut pendant l'installation, avant de connecter à Internet. Le Centre canadien pour la cybersécurité le recommande comme étape de base.
Pourquoi les gens continuent
Les chercheurs trouvent constamment que les mêmes motifs se répètent à travers les âges et les régions. Quelques raisons:
- Charge cognitive. La personne moyenne a maintenant plus de 100 comptes. Personne ne peut retenir 100 mots de passe forts uniques.
- Apathie après fuite. Quand tout a déjà fui au moins une fois, à quoi bon?
- Friction. Les mots de passe forts sont pénibles à taper, donc on revient au court.
- Confiance mal placée. Les utilisateurs pensent qu'une petite variation suffit. Elle ne suffit pas.
La solution aux quatre est la même: un gestionnaire qui génère et stocke des mots de passe aléatoires de 20 caractères, pour que l'humain ne retienne qu'une seule phrase de passe maître.
Comment vérifier si votre mot de passe est sur une liste
Vous pouvez vérifier instantanément à haveibeenpwned.com/Passwords. La recherche utilise un hachage et ne transmet jamais le mot de passe lui même. S'il apparaît dans une fuite connue, le résultat indique combien de fois il a été vu. Plus de zéro signifie à retirer immédiatement.
Le processus complet est dans comment vérifier si votre mot de passe a été divulgué.
Choisissez la longueur, appuyez sur générer, copiez. Remplacez tout mot de passe faible maintenant par un mot aléatoire de 20 caractères.
Le conseil le plus court possible
N'utilisez jamais:
- Aucun mot de passe du top 1000 mondial.
- Votre nom, ceux de vos enfants, de votre animal.
- Votre année de naissance, votre adresse, votre code postal.
- Le mot password, dans n'importe quelle langue, avec n'importe quelles substitutions.
- Votre équipe ou groupe favori.
- Tout ce qui finit par
1,!,123, ou l'année courante.
Utilisez un générateur. Sauvegardez la sortie dans un gestionnaire. Passez à autre chose.