[Nouvelle étude] 1,7 milliard de mots de passe compromis : des mots de passe « robustes » divulgués lors d’attaques Infostealer
Table of Contents
Vous pensez que votre mot de passe « robuste » est sûr simplement parce qu’il est long et contient des symboles ? Détrompez-vous. Une nouvelle étude de Specops montre que même les mots de passe conformes aux standards de sécurité des entreprises finissent entre les mains des hackers.
Entre février et mars 2026, les chercheurs Specops ont analysé plus de 1,7 milliard de comptes compromis issus de fuites Infostealer récentes, et ont examiné un échantillon de plus de 100 Go de journaux Infostealer, incluant 100 millions d’enregistrements liés à l’acteur connu sous le nom Alien_Txtbase.
L’étude s’est concentrée sur les mots de passe répondant aux exigences standard de mots de passe robustes, afin de démontrer que la simple conformité ne protège pas contre les Infostealers. L’ensemble de données se compose principalement de records ULP (URL:Login:Password), représentant des identifiants volés depuis les gestionnaires de mots de passe des navigateurs, les applications desktop et les fichiers locaux sur des systèmes compromis.
Les résultats révèlent un schéma clair : les mots de passe conformes aux politiques d’entreprise sont toujours dérobés directement depuis les appareils compromis. Qu’ils soient générés par des gestionnaires de mots de passe ou créés par les utilisateurs, ces identifiants apparaissent fréquemment dans les dumps Infostealer et circulent sur le dark web ou dans des boutiques Telegram, alimentant le marché croissant des accès initiaux.
Plus de 430 millions de mots de passe compromis ajoutés
La mise à jour de ce mois-ci ajoute plus de 430 millions de mots de passe compromis à la liste utilisée par Specops Password Policy, ce qui porte le total à plus de 5,8 milliards.
Nous avons également ajouté plus de 4.4 millions d’enregistrements à Specops Password Auditor, un outil gratuit en lecture seule qui scanne Active Directory (AD) pour détecter les mots de passe compromis et autres vulnérabilités liées aux mots de passe. Lancez un scan dès aujourd’hui pour obtenir un rapport personnalisé sur les mots de passe compromis, les identifiants identiques et les comptes inactifs.
Tous les identifiants nouvellement découverts sont immédiatement intégrés à Specops Breached Password Protection, qui met à jour sa base de données en continu grâce aux sources de renseignement sur les menaces et aux honeypots gérés par Specops et sa société mère Outpost24.
19 % des mots de passe compromis étaient « robustes »
Les données analysées montrent un mélange de mots de passe générés par l’humain et par des gestionnaires de mots de passe. Environ 19 % des enregistrements dépassaient 8 caractères et contenaient une combinaison de lettres, chiffres et caractères spéciaux. Malgré cette complexité, tous les mots de passe ci-dessous ont été retrouvés dans les fuites récentes.
Mots de passe conformes mais toujours compromis
| Exemples de mots de passe compromis | Type / Observation |
|---|---|
| 4rUyXctf.G!Ek4 | Probablement généré par un gestionnaire de mots de passe |
| ue6WESJOm5rfs1Jpre1v@Y#H | Haute entropie / robuste |
| PhD@shababclub | Créé par un humain / spécifique au secteur |
| ThГ©oParet92 | Contient des symboles spéciaux / caractères copyrigh |
| Timeisoftheessence❤&💡 | Contient des emojis |
| 2-nBhF9U6Vdv*6s | Conforme à la plupart des politiques de mots de passe forts |
Tendances surprenantes
Un mot de passe notable, ThГ©oParet92, montre l’utilisation de symboles comme le copyright. Bien que ces symboles augmentent l’entropie et compliquent certaines attaques par force brute, ils n’offrent aucune protection une fois le mot de passe exfiltré par un malware.
On observe également une augmentation de l’usage des emojis, comme dans Timeisoftheessence❤&💡. Les emojis peuvent créer de « l’entropie surprise » pour compliquer le cracking, mais restent à double tranchant : de nombreux systèmes anciens ne les supportent pas et ils sont facilement capturés par les Infostealers qui enregistrent les entrées réelles de l’utilisateur.
« Les administrateurs peuvent s’assurer que leur AD contient des mots de passe robustes et conformes aux standards NIST. La vraie question est de savoir si ces mots de passe sont réutilisés ailleurs ou ont déjà été volés. Si un utilisateur peut taper un mot de passe dans un navigateur, un malware peut le voler. C’est pourquoi vérifier les identifiants compromis doit faire partie intégrante de votre stratégie de sécurité. »
Darren James, Senior Product Manager, Specops
Pourquoi les mots de passe faibles sont un problème
Les mots de passe problématiques identifiés dans notre analyse exposent votre organisation de plusieurs manières :
Risques de conformité et de gouvernance
Même des mots de passe techniquement conformes aux politiques peuvent apparaître dans les bases de données de fuites. Par exemple, 2-nBhF9U6Vdv*6s respecte de nombreuses politiques d’entreprise mais a été retrouvé dans les dumps de fuites. Si ces identifiants sont réutilisés ou compromis via des attaques comme le credential stuffing ou le détournement de compte, l’organisation peut être en violation de standards comme le GDPR, HIPAA ou PCI DSS.
Exposition aux attaques automatisées
Les hackers utilisent des outils automatisés pour tester des millions de combinaisons. Les mots de passe suivant des schémas humains prévisibles (majuscule au début, minuscules au milieu, chiffres ou symboles à la fin) sont rapidement devinables. Par exemple, Shunaka25! peut être ciblé par des dictionnaires de cracking.
Risque élevé de réutilisation
Lorsque les utilisateurs réutilisent leurs mots de passe sur plusieurs services, une seule fuite peut exposer plusieurs systèmes. Par exemple, si PhD@shababclub apparaît dans un dump Infostealer, les hackers peuvent tenter de réutiliser ces identifiants pour d’autres services corporatifs via des attaques de credential stuffing.
Comment renforcer la sécurité des mots de passe
Bloquer en continu les mots de passe faibles et compromis
Ne vous contentez pas d’un audit annuel pour détecter les vulnérabilités. Il est essentiel de bloquer les mots de passe compromis dès leur création, afin que les utilisateurs ne puissent pas choisir des identifiants déjà présents dans les bases de données de fuites. Comme de nouvelles fuites apparaissent chaque jour, le système doit scanner votre Active Directory en continu pour détecter et corriger les comptes dès que leurs identifiants figurent dans de nouveaux journaux Infostealer ou dumps du dark web.
Avec Specops Password Policy et Breached Password Protection, les organisations peuvent empêcher l’utilisation de mots de passe faibles et bloquer des milliards d’identifiants compromis connus. Les mots de passe sont vérifiés non seulement lors de leur création, mais tout au long de leur cycle de vie dans AD. Une liste de mots de passe compromis à jour facilite également la conformité aux standards NIST ou NCSC.
Appliquer des politiques de mot de passe plus intelligentes
Les politiques de conformité standard conduisent souvent à des schémas prévisibles (ajout d’un « ! » à la fin, chiffres simples, etc.). Pour renforcer véritablement la sécurité, il est important d’empêcher ces schémas dès la création en adoptant des passphrases longues et à haute entropie.
Specops Password Policy permet d’aller au-delà des exigences de base en utilisant des dictionnaires personnalisés pour bloquer les termes sectoriels, les motifs saisonniers et les substitutions courantes. Cela force les utilisateurs à créer des identifiants uniques et sécurisés et favorise l’adoption de passphrases robustes.
Intéressé par une démonstration ou un essai gratuit ? Contactez-nous dès aujourd’hui pour voir comment cette solution peut être adaptée à votre organisation.
Dernière mise à jour le 17/03/2026