800 millions d’identifiants analysés : quels mots de passe festifs figurent sur la liste d’exclusion?
Table of Contents
Alors que la période des fêtes de fin d’année approche à grands pas, nous avons voulu savoir combien de personnes s’étaient inspirées de cette période pour créer des mots de passe… qui ont fini par être compromis. Nous avons donc analysé 800 millions de mots de passe divulgués, et les chiffres sont sans appel : des centaines de milliers d’utilisateurs finaux ont choisi des mots de passe festifs et mémorables qui figurent désormais dans des listes de mots de passe violés.
Cette recherche montre comment la “pensée saisonnière” peut créer des angles morts en matière de sécurité. Nous détaillerons ce que nous avons découvert, pourquoi les mots de passe liés aux fêtes sont si fréquents, et comment les équipes informatiques peuvent y remédier sans se transformer en Grinch.
Cette étude coïncide avec l’ajout de plus de 203 millions de mots de passe compromis au service Specops Breached Password Protection. Ces données proviennent à la fois de notre réseau de honeypots et de nos sources de renseignement sur les menaces.
Ce que 800 millions de mots de passe révèlent sur la sécurité pendant les fêtes
Nous avons identifié environ 750 000 occurrences de mots de passe liés aux fêtes dans notre base de 800 millions. Ce total comprend les substitutions de caractères courantes et les variantes comme « Chr1stm@s » ou « S@nt@ ».
Les données confirment ce que les équipes IT soupçonnent déjà : les utilisateurs privilégient les mots de passe mémorables, et rien n’est plus mémorable que les fêtes de fin d’année. Malheureusement, ce qui est facile à retenir pour l’utilisateur devient prévisible pour les attaquants.
Les utilisateurs finaux ne sont pas paresseux – ils sont submergés. En moyenne, une personne gère des identifiants pour 168 comptes. Lorsqu’il faut les mettre à jour (notamment après une réinitialisation forcée), ils se tournent vers ce qu’ils connaissent. Et quoi de plus familier que la période des fêtes qui approche ?
Fait intéressant : ces mots de passe compromis ont probablement été créés autour du 4ᵉtrimestre 2024 ou avant. Autrement dit, toute personne qui fait la même chose cette année, en 2025, risque de créer un mot de passe déjà utilisé dans des attaques par credential stuffing.
| Terme du mot de passe | Nombre d’occurrences |
|---|---|
| snow | 211,207 |
| noel | 101,277 |
| santa | 95,222 |
| winter | 66,643 |
| yule | 34,435 |
| november | 30,989 |
| december | 26,849 |
| xmas | 24,365 |
| turkey | 17,644 |
| advent | 17,270 |
| merry | 16,512 |
| snowman | 11,504 |
| christmas | 10,165 |
| jingle | 8,064 |
| rudolph | 3,950 |
| sleigh | 3,354 |
| reindeer | 1,269 |
| santaclaus | 1,166 |
| mistletoe | 536 |
| thanksgiving | 490 |
| kwanzaa | 204 |
| menorah | 186 |
| blackfriday | 159 |
| hanukkah | 97 |
| fatherchristmas | 23 |
| cybermonday | 9 |
Les mots de passe les plus populaires pendant les fêtes
- « Snow » domine le classement avec 211 207 occurrences, probablement parce qu’il s’agit d’un mot court et simple que les utilisateurs combinent avec des années ou des chiffres pour satisfaire les exigences de complexité.
- « Noel » (un mot français, et oui) arrive en deuxième position avec 101 277 occurrences – même s’il est possible que certaines personnes utilisent leur prénom.
- « Santa » occupe la troisième place avec 95 222 occurrences.
- « Winter » apparaît 66 643 fois.
- « Yule » atteint 34 435, un chiffre étonnamment élevé pour un terme peu courant.
- « Xmas » et « Christmas » apparaissent environ 35 000 fois combinés.
- Les mots de passe « November » (30 989) et « December » (26 849) sont eux aussi fréquents. Ces mots de passe basés sur les mois connaissent un pic pendant les cycles de réinitialisation de fin d’année, créant des fenêtres prévisibles dont les attaquants profitent.
Pourquoi ces mots de passe posent problème
Les outils modernes de craquage de mots de passe intègrent des dictionnaires contenant des centaines de milliers de termes courants, y compris ceux liés aux fêtes que nous avons identifiés. Ils testent automatiquement des millions de combinaisons par seconde, ajoutant des chiffres, remplaçant des lettres par des symboles, capitalisant la première lettre ou ajoutant une année.
Un mot de passe tel que « Chr1stm@s! » peut sembler sûr pour un utilisateur parce qu’il contient des majuscules, minuscules, chiffres et symboles, et qu’il respecte la politique de sécurité de l’organisation. Mais il reste basé sur un mot du dictionnaire, donc vulnérable. Les attaquants le craqueront rapidement ; leurs outils savent déjà que « 1 » peut remplacer « i » et « @ » le « a ». Comparez cela à une phrase de passe de plus de 20 caractères composée de trois mots aléatoires. Même avec la puissance de calcul actuelle, une attaque par force brute sur une telle combinaison prend exponentiellement plus de temps. L’équation est simple : plus de combinaisons possibles = plus de temps nécessaire = meilleure sécurité.
La réutilisation de mots de passe amplifie encore le risque : une fuite sur un service tiers peut compromettre le mot de passe Active Directory de votre utilisateur. Le timing est également crucial. Les mots de passe liés aux fêtes apparaissent souvent entre le T4 et janvier, pendant les périodes de réinitialisation forcée. Les attaquants le savent et ajustent leurs campagnes pour exploiter ces schémas prévisibles.
Identifiez dès aujourd’hui les mots de passe faibles ou compromis sur votre réseau
La mise à jour de ce mois-ci du service Breached Password Protection inclut l’ajout de près de 4,7 millions de mots de passe compromis à la liste utilisée par Specops Password Auditor. Elle comprend également les 800 millions de mots de passe analysés dans cette étude.
Grâce à un scan en lecture seule de votre Active Directory avec Specops Password Auditor, vous pouvez découvrir combien de mots de passe utilisateurs sont compromis ou identiques. Vous obtiendrez un rapport personnalisable sur les vulnérabilités liées aux mots de passe : politiques faibles, mots de passe violés, comptes inactifs ou obsolètes. Téléchargez votre outil d’audit gratuit dès maintenant.
Bloquez en continu les mots de passe faibles et compromis
Specops Password Auditor constitue un excellent point de départ pour évaluer vos risques actuels, mais il ne s’agit que d’une photo instantanée. Avec Specops Password Policy et Breached Password Protection, les organisations peuvent se protéger en continu contre plus de 4 milliards de mots de passe compromis uniques.
Les systèmes de collecte de données de notre équipe de recherche mettent à jour le service chaque jour, garantissant une protection contre les attaques de mots de passe observées dans le monde réel. Le service inclut également les mots de passe figurant dans les listes de fuites publiées sur le dark web et ailleurs. Breached Password Protection analyse en continu votre Active Directory pour détecter les mots de passe compromis et permet d’alerter les utilisateurs finaux avec des messages personnalisables, réduisant ainsi les appels au support.
Intéressé par une démonstration ? Vous souhaitez savoir comment adapter cette approche à votre environnement ? Contactez-nous ou découvrez son fonctionnement à travers une démo ou un essai gratuit.
Dernière mise à jour le 13/11/2025