On a tendance à manquer de créativité pour choisir un mot de passe sur internet. Voilà le podium français des mots de passe révélé mi-novembre par une étude. À la première place on retrouve , la suite de chiffres "123456" puis la même chose, jusqu’à neuf et en 3e position : "azerty", soit les lettres dans l’ordre du clavier. On trouve aussi les mots "Marseille" et "doudou", dans la liste.



Cette analyse est publiée par une entreprise spécialisée dans la gestion de mots de passe, qui a notamment travaillé à partir de données qui avaient fuité. Ce qui est rassurant, c’est que ces fuites sont généralement observées sur des sites peu sensibles C’est ce qu'expliquait Jean-Jacques Latour, directeur de l’expertise en cybersécurité pour cybermalveillance.gouv.fr. Pour autant, il confirme qu’on utilise trop souvent le même mot de passe pour différents comptes, et qu’il n’est généralement pas assez robuste. Le risque encouru à utiliser un mot de passe peu sécurisé est qu’un escroc le découvre et puisse accéder à vos données. Imaginez tout ce que vous avez partagé par mail : un bulletin de salaire, la carte d’identité dont vous avez envoyé une copie, votre RIB, autant d’informations que l’escroc pourrait utiliser, ensuite.

Des solutions existent



Il existe deux techniques pour découvrir un mot de passe : l’attaque par dictionnaire, qui consiste à tester des mots, les uns après les autres et l’attaque par force brute. Là, il s’agit d’essayer toutes les combinaisons possibles. Or, d’après Jean-Jacques Latour, un ordinateur est capable d’en tester des dizaines de milliers en moins d’une seconde. Alors, si de nombreux sites limitent le nombre d’essais, c’est important de choisir un bon mot de passe : d’abord, lui attribuer au moins 12 caractères variés, avec majuscules, minuscules, chiffres et caractères spéciaux. Ensuite, choisir un mot de passe unique, surtout pour votre boîte mail. Et si vous craignez de ne pas les retenir, utilisez un gestionnaire : cybermalveillance.gouv recommande KeePass : un petit logiciel gratuit, certifié par l’Anssi, l’agence nationale de la cybersécurité.