Résumé de l'étude Kaspersky sur la sécurité des mots de passe — Mai 2026
Source : Kaspersky Blog

⚠️ Note méthodologique : Les tests de craquage de cette étude ont été réalisés uniquement sur des hashes MD5 — un algorithme rapide et obsolète, non recommandé pour le stockage de mots de passe. Les services modernes utilisent des fonctions de dérivation lentes comme bcrypt, Argon2 ou scrypt, qui réduiraient drastiquement ces chiffres. Les résultats représentent donc un scénario pessimiste (fuite d'un service mal configuré), et non la réalité de l'ensemble des systèmes en production.

Le constat : une situation alarmante

Kaspersky vient de publier une mise à jour de son étude sur la robustesse des mots de passe réels, menée à partir de 231 millions de mots de passe uniques issus de fuites sur le dark web entre 2023 et 2026. Le verdict est sans appel : 48 % des mots de passe peuvent être cassés en moins d'une minute, et 60 % en moins d'une heure.

Par rapport à l'étude similaire de 2024, la situation s'est légèrement dégradée — le chiffre était alors de 45 % en moins d'une minute et 59 % en moins d'une heure. La progression peut sembler modeste, mais elle reflète une tendance lourde : les outils de craquage deviennent chaque année plus rapides.

Comment fonctionne le craquage de mots de passe ?

Les mots de passe ne sont presque jamais stockés en clair — ils sont transformés en empreintes cryptographiques (hashes). Pour retrouver le mot de passe original, les attaquants s'appuient sur plusieurs techniques :

  • Force brute : toutes les combinaisons possibles sont testées une à une.
  • Tables arc-en-ciel (rainbow tables) : des bases de données précalculées associant des hashes à des mots de passe connus.
  • Craquage intelligent : des algorithmes entraînés sur des fuites antérieures, capables de cibler les combinaisons les plus probables (mots du dictionnaire, substitutions classiques comme a → @, structures courantes comme mot + chiffre + caractère spécial).

L'accélération du craquage est aussi matérielle : la RTX 5090, utilisée pour cette étude, atteint 220 milliards de hashes MD5 par seconde — soit 34 % de plus que la RTX 4090 de 2024. Et louer de la puissance GPU dans le cloud ne coûte que quelques centimes à quelques dollars de l'heure.

Les patterns qui trahissent nos mots de passe

L'analyse de 200 millions de mots de passe révèle des habitudes humaines très prévisibles :

  • 53 % des mots de passe se terminent par un ou plusieurs chiffres.
  • 12 % contiennent une séquence ressemblant à une année (entre 1950 et 2030).
  • 10 % contiennent spécifiquement une année entre 1990 et 2026 — probablement l'année de naissance ou de création du compte.
  • La combinaison la plus répandue reste sans surprise "1234".
  • Les séquences clavier comme qwerty ou ytrewq apparaissent dans 3 % des mots de passe.
  • Le caractère spécial le plus utilisé est @, suivi du point . et du point d'exclamation !.
  • Les mots chargés d'émotion reviennent fréquemment : love, angel, star, life
  • Fait marquant : l'usage du mot "Skibidi" (en référence au mème viral Skibidi Toilet) a été multiplié par 36 entre 2023 et 2026.

Des mots de passe qui vieillissent mal

Plus de 54 % des mots de passe identifiés dans des fuites récentes avaient déjà été exposés par le passé. Beaucoup d'utilisateurs ne changent tout simplement pas leurs mots de passe pendant des années. L'analyse des dates intégrées dans les mots de passe suggère une durée de vie moyenne de 3 à 5 ans — un intervalle largement suffisant pour qu'un algorithme de craquage sophistiqué vienne à bout même de mots de passe complexes.

Comment se protéger ?

  1. Utiliser un gestionnaire de mots de passe — il génère et stocke des mots de passe longs, aléatoires et uniques pour chaque service.
  2. Ne jamais stocker ses mots de passe en clair — ni dans des fichiers texte, ni dans des messageries, ni dans des documents.
  3. Éviter les navigateurs comme coffre-fort — les malwares modernes peuvent extraire les mots de passe sauvegardés en quelques secondes.
  4. Adopter les passkeys — une alternative cryptographique aux mots de passe, résistante au phishing car liée à un domaine précis.
  5. Activer l'authentification à deux facteurs (2FA) — de préférence via une application d'authentification plutôt que par SMS.
  6. Pratiquer une bonne hygiène numérique — éviter les fichiers piratés, les liens suspects, et utiliser une solution de sécurité à jour.

Source : étude Kaspersky, mai 2026 — basée sur 231 millions de mots de passe uniques issus de fuites dark web (2023–2026).