Points forts

123456, 123456789 et 12345678

figurent parmi les mots de passe les plus fréquemment compromis.

LummaC2

s’impose comme le principal vecteur de vol d’identifiants, avec plus de 60 millions de comptes dérobés.

Les mots de passe de 8 caractères

ont été les plus exposés, totalisant 1,1 milliard de mots de passe compromis.

À propos des données

Les données présentées dans ce rapport proviennent de l’équipe de renseignement sur les menaces d’Outpost24, la société mère de Specops Software. Au total, plus de six milliards de mots de passe volés ont été collectés et analysés sur une période de douze mois, de janvier à décembre 2025.

Ces données s’appuient sur des journaux de malwares de type infostealer, des sources d’agrégation d’identifiants ainsi que des marchés clandestins. Si elles reflètent l’activité observée en 2025, les tendances mises en évidence illustrent surtout des comportements d’attaque durables et structurés, plutôt que de simples phénomènes ponctuels ou saisonniers.

Télécharger le rapport

Darren James
Senior Product Manager, Specops Software

Pourquoi les identifiants volés par des malwares devraient inquiéter toutes les organisations

« Malgré des années de sensibilisation et des politiques de mot de passe toujours plus complexes, les attaquants continuent de retrouver, dans les systèmes, les mêmes identifiants faibles et prévisibles. Ce n’est pas seulement un problème de volume : c’est la preuve que des contrôles statiques ne reflètent pas la manière dont les identifiants sont réellement volés, réutilisés et exploités aujourd’hui. La robustesse d’un mot de passe repose avant tout sur sa longueur, souvent obtenue grâce à l’usage de passphrases, associée à des contrôles continus permettant de détecter les mots de passe compromis, et non sur la seule complexité. »

Télécharger le rapport

Des mots de passe faibles ou exposés se cachent-ils dans votre Active Directory ?

Lancez un audit gratuit dès aujourd’hui et faites un premier pas vers une sécurité des mots de passe renforcée. Specops Password Auditor est un outil gratuit qui vous permet d’identifier, en quelques minutes, plusieurs types de vulnérabilités liées aux mots de passe. Effectuez une analyse en lecture seule de votre Active Directory, en le comparant à près d’un milliard de mots de passe compromis, et obtenez un aperçu détaillé de vos politiques de mots de passe au niveau du domaine et de la granularité fine.

En savoir plus

Téléchargez dès maintenant votre outil d’audit gratuit !

Veuillez remplir vos informations pour commencer votre essai gratuit. Tous les champs sont obligatoires.

Questions fréquemment posées

Un mot de passe faible est court, courant et prévisible (il utilise des modèle de clavier, ou leetspeak),). Un mot de passe qui est réutilisé sur plusieurs comptes ou qui figure sur une liste de mots de passe piratés représente également un mot de passe faible.

Active Directory ne vérifie pas les mots de passe faibles ou frauduleux par défaut. Avec un peu de configuration, les administrateurs peuvent vérifier les mots de passe Active Directory par rapport à la liste de mots de passe « Have I been Pwned ».

Un mot de passe fort est un mot de passe long, unique et difficile à deviner. Un mot de passe fort peut néanmoins être vulnérable en cas de fuite ou de vol de données. Les mots de passe doivent être régulièrement comparés à une liste de mots de passe compromis connus, et modifiés en cas d’indication de compromission.

Avec un outil tiers comme Specops Password Policy, les administrateurs système peuvent imposer la longueur des mots de passe, les phrases de passe et un certain degré de complexité, tout en bloquant les types de caractères courants au début et à la fin des mots de passe, ainsi que les caractères répétés consécutivement. Les administrateurs peuvent également appliquer les exigences de conformité en bloquant l’utilisation de mots de passe compromis.

Rapports annuels précédents sur les mots de passe :

2025

2024

2023

2022