Les mots de passe romantiques que les cybercriminels adorent

Chaque année, le rapport sur les mots de passe compromis de Specops révèle des informations intéressantes sur la manière dont les utilisateurs créent leurs mots de passe et comment les hackers exploitent ces habitudes. Les mots familiers, les noms, les lieux ou les références culturelles restent très utilisés. Une tendance surprenante : cela concerne aussi les mots de passe liés à l’amour et à la Saint-Valentin.

L’année dernière, nous avons étudié les mots de passe sur le thème de l’amour pour comprendre comment les utilisateurs intègrent le langage romantique dans leurs identifiants. L’analyse récente de la base de données mise à jour de Specops montre que ces habitudes sont toujours très répandues. Le mot « love » apparaît 4 713 018 fois et « ilya » 233 702 fois, ce qui prouve que les mots de passeliés à l’amour restent courants dans les données compromises.

Nos analyses montrent que la culture populaire influence fortement la création de mots de passe. Des références à la littérature classique, comme Les Hauts de Hurlevent, ou à des séries romantiques, comme Heated Rivalry, apparaissent régulièrement. Beaucoup d’utilisateurs choisissent donc leurs mots de passe en fonction de personnages ou de thèmes qu’ils apprécient, ou de références à leurs fandoms.

Top 5 des mots de passe romantiques issus de la culture pop

1. ilya – 233,702
2. shane – 105,429 
3. hockey – 67,658 
4. boston – 34,886 
5. catherine – 25,143 

Des noms comme Hollander, Rozanov ou Heathcliff, figures emblématiques de la romance, apparaissent fréquemment, montrant que les mots de passe basés sur des personnages sont rarement uniques. Des mots simples comme « beauty », « beautiful » ou « roses » montrent également que les utilisateurs s’appuient sur des thèmes romantiques prévisibles.

Les termes romantiques et liés à la Saint-Valentin les plus utilisés

1. beauty – 62190
2. beautiful – 52649
3. roses – 47232
4. flowers – 28899
5. romance – 19765
6. valentine – 14666

Pourquoi les mots de passe prévisibles posent problème

Les mots de passe prévisibles sont plus faciles à pirater, notamment via le cracking hors ligne. Lorsque les utilisateurs créent des mots de passe inspirés de l’amour, de noms, de la culture pop ou d’événements saisonniers, ils réduisent le nombre de tentatives nécessaires aux hackers.

Ces derniers s’appuient sur des listes de mots de passe prédéfinies, mises à jour à partir de fuites, de données compromises et d’informations publiques issues des réseaux sociaux. Une fois qu’un mot de passe apparaît dans une fuite, il doit être considéré comme compromis pour toujours. Les hackers stockent et réutilisent ces mots de passe sur le long terme.

Le credential stuffing: Le credential stuffing consiste à utiliser des combinaisons nom d’utilisateur et mot de passe volées pour se connecter à d’autres sites ou services. Si un utilisateur réutilise ses mots de passe, une seule fuite peut compromettre plusieurs comptes

Cette méthode est efficace car les hackers n’ont pas besoin de cracker les mots de passe. Ils réutilisent simplement des identifiants valides. Une connexion réussie peut donner accès aux emails, permettre des attaques de phishing internes, l’escalade de privilèges, des mouvements latéraux dans le réseau, ou le déploiement de logiciels malveillants.

C’est pourquoi il est essentiel de mettre en place un contrôle des mots de passe compromis pour limiter le temps dont disposent les pirates. Une solution MFA renforce la sécurité, mais ne supprime pas complètement le risque, car des attaques comme le MFA bombing (ou fatigue MFA) peuvent contourner cette protection.

Le Password spraying: Le password spraying consiste à tester un petit nombre de mots de passe courants sur un grand nombre de comptes. Cette méthode évite le verrouillage des comptes et réduit les risques de détection. Les événements saisonniers et les tendances culturelles renforcent son efficacité. Les hackers savent que les utilisateurs intègrent des mots comme « love », « valentine » ou « roses » dans leurs mots de passe et mettent régulièrement à jour leurs listes pour tester ces modèles sur tous les comptes.

Cette technique fonctionne encore car beaucoup de mots de passe romantiques respectent les critères de complexité. Un mot de passe peut sembler complexe tout en suivant un schéma prévisible. Par exemple, « Valentine12@ » respecte les règles d’Active Directory mais reste facile à deviner.

Comment réduire le risque de mots de passe compromis

La sensibilisation seule ne suffit pas. Les utilisateurs continueront à choisir des mots familiers, des noms ou des références culturelles, car c’est plus simple à retenir. La meilleure solution est d’appliquer des contrôles techniques qui bloquent l’utilisation de mots de passe compromis ou prévisibles dans Active Directory.

Use continuous breached password screening: Un mot de passe sûr aujourd’hui peut être compromis demain. Les listes utilisées par les hackers évoluent constamment. La protection contre les mots de passe compromis doit être continue, et non une simple vérification ponctuelle. La fonctionnalité Breached Password Protection de Specops Password Policy analyse en permanence Active Directory avec une base de plus de 5,5 milliards de mots de passe compromis, empêchant les utilisateurs de choisir des identifiants connus des hackers.

Exiger des mots de passe plus forts que les contrôles natifs d’Active Directory : Les politiques natives imposent des règles de base mais restent limitées. Specops Password Policy permet d’appliquer des règles plus précises via Group Policy : dictionnaires personnalisés, listes de mots interdits, règles renforcées. Cela réduit la création de mots de passe prévisibles tout en offrant un contrôle complet aux équipes sécurité.

Renforcer la sécurité sans friction pour les utilisateurs : Des règles trop strictes poussent souvent les utilisateurs à réutiliser ou à stocker leurs mots de passe de façon peu sûre. Il est donc important de mettre en place des contrôles qui permettent d’utiliser des mots de passe sécurisés sans dépendre du jugement de l’utilisateur et qui réduisent la charge sur le support. Specops Password Policy centralise la gestion des règles et automatise leur application, tandis que Specops uReset permet aux utilisateurs de réinitialiser et déverrouiller leurs comptes en libre-service, renforçant ainsi la sécurité tout en maintenant la productivité.

Ajouter une authentification multi-facteurs : Pour les organisations adoptant le zero trust, les contrôles de mot de passe doivent être combinés à une vérification renforcée et à un contrôle des appareils. Specops Secure Access ajoute une MFA adaptative au moment de la connexion, réduisant le risque qu’un mot de passe volé suffise pour accéder aux systèmes. La solution d’accès zero trust Specops Device Trust vérifie l’utilisateur et son appareil à chaque accès, contrôle l’état du dispositif et applique des règles basées sur celui-ci. Cela bloque les tentatives de prise de contrôle, même avec des identifiants valides.

Pour découvrir comment Specops aide les organisations à réduire le risque de mots de passe volés ou prévisibles, renforcer l’authentification et appliquer l’accès zero trust avec une vérification continue des appareils, parlez dès aujourd’hui à nos experts.