60 % des mots de passe hachés en MD5 pourraient être piratés en moins d'une heure à l'aide d'une seule carte graphique Nvidia RTX 5090, et 48 % en moins d'une minute, selon les chercheurs de Kaspersky
Une nouvelle étude menée par Kaspersky a révélé que 60 % des mots de passe hachés avec l'algorithme MD5 pouvaient être piratés en moins d'une heure à l'aide d'un seul GPU Nvidia RTX 5090, et que 48 % d'entre eux pouvaient l'être en moins d'une minute. Les chercheurs ont analysé 231 millions de mots de passe réels divulgués sur le dark web entre 2023 et 2026, et ont constaté que les mots de passe sont toujours aussi peu sûrs, alors que leur piratage devient chaque année plus rapide et plus facile. Ces résultats soulignent à quel point les progrès en matière de calcul sur GPU et les habitudes prévisibles des utilisateurs continuent de compromettre la sécurité en ligne.
Kaspersky Lab est une multinationale russe spécialisée dans la cybersécurité et les solutions antivirus, dont le siège social est situé à Moscou, en Russie. Elle a été fondée en 1997 par Eugene Kaspersky, Natalya Kaspersky et Alexey De-Monderik. Kaspersky Lab développe et commercialise des antivirus, des solutions de sécurité des terminaux, des systèmes SIEM, des solutions XDR, ainsi que d'autres produits et services liés à la cybersécurité. L'équipe mondiale de recherche et d'analyse (GReAT) de Kaspersky a été à l'origine de la découverte de plateformes d'espionnage sophistiquées mises en place par des États, telles que le groupe Equation et le ver Stuxnet. Kaspersky publie également chaque année l'enquête mondiale sur les risques liés à la sécurité informatique.
L'algorithme de hachage MD5 est une fonction de hachage cryptographique largement utilisée qui produit une valeur de hachage de 128 bits. Conçu par Ronald Rivest en 1991 pour remplacer la fonction de hachage MD4, MD5 a été normalisé en 1992 sous la référence RFC 1321. Le MD5 peut être utilisé comme somme de contrôle pour vérifier l'intégrité des données et détecter toute corruption accidentelle. Historiquement, il a été largement utilisé comme fonction de hachage cryptographique, cependant, on a constaté qu'il présentait de nombreuses vulnérabilités. Il reste toutefois adapté à d'autres usages non cryptographiques, par exemple pour déterminer la partition d'une clé donnée dans une base de données partitionnée, et peut être privilégié en raison de ses exigences de calcul moins élevées que celles des algorithmes de hachage sécurisés plus récents.
Chaque année, des centaines de millions de mots de passe d'utilisateurs réels sont divulgués sur le dark web. Kaspersky a analysé 231 millions de mots de passe uniques issus de fuites sur le dark web entre 2023 et 2026, et ses conclusions sont alarmantes : la grande majorité d'entre eux sont extrêmement faibles. Pour pirater 60 % de ces mots de passe, un pirate informatique n'a besoin que d'une heure et de quelques dollars en poche. De plus, le piratage des mots de passe s'accélère d'année en année : le pourcentage de mots de passe vulnérables est en effet plus faible dans une étude similaire réalisée par Kaspersky en 2024.
Comment les mots de passe sont-ils piratés ?
De nos jours, les mots de passe ne sont pratiquement jamais stockés en clair. Par exemple, si vous créez un compte avec le mot de passe « Password123! », le serveur ne le stockera pas tel quel. Au lieu de cela, le mot de passe est haché à l'aide d'algorithmes spécifiques, ce qui le transforme en une chaîne de lettres et de chiffres de longueur fixe (un hachage) qui est ce qui reste effectivement sur le serveur. Voici, par exemple, à quoi ressemble le hachage MD5 de « Password123! » :
2c103f2c4ed1e59c0b4e2e01821770fa.
Chaque fois qu'un utilisateur saisit son mot de passe, celui-ci est converti en une valeur de hachage qui est ensuite comparée à celle stockée sur le serveur ; si les valeurs de hachage correspondent, le mot de passe est correct. Si un pirate parvient à mettre la main sur cette valeur de hachage, il doit la déchiffrer pour récupérer le mot de passe d'origine — c'est ce qu'on appelle le « craquage de mot de passe ». Cette opération s'effectue généralement à l'aide de cartes graphiques (GPU) détenues ou louées, et plusieurs méthodes peuvent être utilisées pour le craquage :
- Énumération exhaustive (force brute). L'ordinateur teste toutes les combinaisons possibles de caractères, en calculant le hachage de chacune d'entre elles. Cette méthode est la plus simple pour pirater les mots de passe courts ou ceux composés d'un seul type de caractères (comme les chiffres uniquement).
- Les « rainbow tables ». Véritable cauchemar pour quiconque utilise un mot de passe simple, il s'agit en substance d'un « annuaire » de mots de passe dont les hachages ont déjà été déchiffrés par force brute ou à l'aide d'algorithmes sophistiqués. Il suffit à un pirate de trouver un hachage correspondant pour découvrir quel mot de passe lui est associé.
- Cracking intelligent. Ces algorithmes sont entraînés à partir de bases de données contenant des mots de passe divulgués. Ils analysent la fréquence des différentes combinaisons de caractères et effectuent leurs vérifications en partant des séquences les plus probables vers les moins courantes. Ils prennent en compte les mots du dictionnaire, les substitutions de caractères (a → @ ou s → $) et tiennent compte des structures courantes de mots de passe telles que « mot du dictionnaire + chiffre + caractère spécial », tout en comparant les hachages à des rainbow tables. La combinaison de ces méthodes accélère considérablement le processus de cracking.
De plus, les pirates peuvent également intercepter les mots de passe en clair. Il existe de nombreuses façons de procéder, allant du phishing (où la victime est attirée vers une fausse page web et saisit son mot de passe de son plein gré) aux keyloggers qui capturent les frappes au clavier, en passant par les stealers ou les chevaux de Troie qui dérobent des documents, des cookies, des données du presse-papiers, etc. Malheureusement, de nombreux utilisateurs conservent leurs mots de passe en clair dans des notes, des applications de messagerie et des documents, ou les enregistrent dans des navigateurs où les pirates peuvent les extraire en quelques secondes.
Chaque année, Kaspersky recense environ cent millions de fuites de mots de passe en clair. L'entreprise utilise ces bases de données pour avertir les utilisateurs de Kaspersky Password Manager si leurs données ont été compromises. Pour répondre à la question qui leur est le plus souvent posée à ce sujet : non, ils ne connaissent pas les mots de passe de leurs utilisateurs. Dans ses présentations de sa technologie d'analyse des fuites et de l'architecture interne de son gestionnaire de mots de passe, Kaspersky explique en termes simples comment il compare les mots de passe des utilisateurs à ceux qui ont fait l'objet de fuites sans les connaître réellement — et pourquoi ni les mots de passe des utilisateurs stockés dans Kaspersky Password Manager, ni même leurs hachages, ne quittent jamais leur appareil.
60 % des mots de passe sont piratés en moins d'une heure
Kaspersky a enrichi la base de données issue de son étude précédente de 38 millions de mots de passe réels supplémentaires publiés par des pirates sur des forums du dark web, puis a comparé les résultats. Les tests ont été réalisés à l'aide d'un seul GPU RTX 5090 pour les mots de passe hachés à l'aide de l'algorithme MD5. Les données utilisées pour l'analyse proviennent du service Digital Footprint Intelligence de Kaspersky.
Selon les conclusions de la nouvelle étude de Kaspersky, les mots de passe sont restés aussi faibles qu’auparavant, alors que leur piratage devient chaque année plus rapide et plus facile. Aujourd’hui, 60 % des mots de passe peuvent être piratés en moins d’une heure ; il y a deux ans, ce chiffre était de 59 %. Mais le plus effrayant, c’est autre chose : près de la moitié de tous les mots de passe (48 %) sont piratés en moins d’une minute !
Temps nécessaire pour pirater un mot de passe : il y a deux ans et aujourd'hui
Les pirates doivent cette augmentation de vitesse aux processeurs graphiques, dont la puissance ne cesse de croître d'année en année. Alors qu'une RTX 4090 pouvait, en 2024, effectuer une attaque par force brute sur des hachages MD5 à une vitesse de 164 gigahashes (milliards de hachages) par seconde, la nouvelle RTX 5090 a augmenté cette vitesse de 34 %, atteignant 220 gigahashes par seconde.
Et bien qu’une carte graphique haut de gamme de ce type coûte actuellement plusieurs milliers de dollars, son prix ne constitue pas vraiment un obstacle : il existe de nombreux services cloud bon marché permettant de louer de la puissance de calcul GPU. Selon la configuration et le modèle, les coûts de location varient de quelques centimes à quelques dollars de l’heure. Comme on a pu le voir, une heure suffit à un pirate pour déchiffrer trois mots de passe sur cinq parmi ceux qu’il a trouvés dans une fuite. De plus, selon l'ampleur de la tâche, il peut toujours louer dix, voire une centaine de GPU au lieu d'un seul…
Il convient de noter que le fait de pirater tous les mots de passe d'un ensemble de données ne prend pas beaucoup plus de temps que d'en pirater un seul. À chaque itération, une fois que le pirate a calculé un hachage pour une combinaison de caractères spécifique, il vérifie si ce même hachage existe quelque part dans l'ensemble de données — et plus l'ensemble de données est volumineux, plus il est facile de trouver une correspondance. Si une correspondance est trouvée, le mot de passe correspondant est marqué comme « piraté », et l'algorithme passe au suivant.
Quels sont les mots de passe vulnérables ?
La sécurité d'un mot de passe dépend de sa longueur, de la diversité de son contenu et du caractère aléatoire de ce dernier. Les mots de passe créés par des humains s'avèrent être les moins sûrs — malheureusement, les humains sont assez prévisibles. Nous utilisons des mots du dictionnaire et des combinaisons de caractères que les algorithmes intelligents maîtrisent depuis longtemps, nous évitons les longues chaînes aléatoires, et des schémas peuvent être détectés même dans les frappes que nous croyons aléatoires. Il est intéressant de noter que les mots de passe générés par l'IA portent encore les traces d'une approche humaine.
La longueur du mot de passe est le principal facteur qui influe sur le temps nécessaire pour le pirater. Comme le montre le tableau ci-dessous, il faut moins de 24 heures pour pirater presque tous les mots de passe de huit caractères.
Pourcentage de mots de passe de différentes longueurs pouvant être piratés dans un délai donné
Mais la prévisibilité du mot de passe d'un utilisateur est tout aussi importante. Vous pensez renforcer la sécurité en ajoutant un chiffre ou un caractère spécial à un mot facile à retenir ? Vous avez raison, mais ce n'est qu'un gain minime. Les schémas que les gens utilisent pour créer leurs mots de passe sont facilement prévisibles et, parfois, assez amusants — même si ce n'est pas matière à rire.
Ce que Kaspersky a découvert sur les habitudes en matière de mots de passe
L'analyse réalisée par Kaspersky sur plus de 200 millions de mots de passe a mis en évidence des schémas caractéristiques qui permettent à des algorithmes intelligents de pirater facilement les mots de passe des utilisateurs.
Utilisez un chiffre
Plus de la moitié des mots de passe (53 %) se terminent par un ou plusieurs chiffres, tandis que près d’un sur six (17 %) commence par un chiffre. Un mot de passe sur huit (12 %) contient des séquences qui ressemblent fortement à des années — allant de 1950 à 2030 — et un sur dix (10 %) se situe précisément entre 1990 et 2026. Cela s'explique très probablement par le fait que les gens ajoutent leur année de naissance (ou celle d'un proche), une autre année importante, ou l'année à laquelle ils ont créé le mot de passe ou le compte. Fait intéressant : d'après la répartition de ces dates, il semblerait que les internautes les plus actifs soient nés entre 2000 et 2012.
Cependant, parmi toutes les combinaisons de chiffres, la plus populaire s'est avérée être… : « 1234 ». Dans l'ensemble, les séquences formées par des frappes consécutives au clavier (« qwerty », « ytrewq » et autres) apparaissent dans 3 % des mots de passe.
Les caractères spéciaux ne sont pas la solution miracle
Ces dernières années, la plupart des politiques en matière de mots de passe exigent l'utilisation d'au moins un caractère spécial. Le grand gagnant dans cette catégorie est le symbole @ : on le retrouve dans un mot de passe sur dix. Le point (.) arrive en deuxième position, suivi du point d'exclamation (!) en troisième position.
L'amour gouverne le monde… et Skibidi Toilet aussi
Les mots chargés d'émotion constituent souvent la base d'un mot de passe, et malgré tout, les mots positifs sont plus courants. Parmi les exemples les plus fréquents, on trouve « love », « angel », « team », « mate », « life » et « star ». Cela dit, la négativité fait également son apparition, principalement sous la forme de jurons courants en anglais.
Il est intéressant de noter que les mèmes viraux se retrouvent également dans les mots de passe. Entre 2023 et 2026, l'utilisation du mot « Skibidi » dans les mots de passe a été multipliée par 36 ! Naturellement, le mot « toilettes » a lui aussi connu un regain de popularité, bien que dans une moindre mesure.
Les utilisateurs ont tendance à conserver les mêmes mots de passe pendant des années
Plus de la moitié des mots de passe (54 %) identifiés par Kaspersky dans des fuites récentes avaient déjà été repérés auparavant. Cela s'explique en partie par le fait que les mêmes données ont été transférées d'un ensemble de données à un autre. Il existe toutefois une raison bien plus préoccupante : de nombreux utilisateurs n'ont tout simplement pas changé leurs mots de passe depuis des années.
L'analyse des dates présentes dans les mots de passe montre que les combinaisons comprenant les années 2020 à 2024 restent très courantes. Il semble que les utilisateurs ajoutent l'année en cours à leur mot de passe lorsqu'ils le créent, puis l'oublient pendant plusieurs années. Cela a permis à Kaspersky de calculer la durée de vie moyenne d'un mot de passe : environ trois à cinq ans.
Selon Kaspersky, il s'agit là d'une tendance dangereuse. D'une part, les algorithmes intelligents sont capables de pirater des mots de passe bien plus complexes dans un laps de temps aussi court. D'autre part, plus le mot de passe d'un utilisateur reste longtemps inchangé, plus le risque qu'il soit divulgué est élevé — que ce soit à la suite d'une faille de sécurité, d'une infection par un logiciel malveillant ou d'une attaque par hameçonnage.
La situation empire encore lorsque le même mot de passe est utilisé pour plusieurs comptes. Dans ce cas, les pirates n'ont même pas besoin de le pirater ; il leur suffit de trouver le mot de passe de l'utilisateur dans une seule fuite de données et de l'utiliser sur d'autres sites.
Source : Kaspersky
Et vous ?
Quel est votre avis sur le sujet ?
Trouvez-vous les conclusions de cette étude de Kaspersky crédibles ou pertinentes ?
Voir aussi :
Le célèbre logiciel DAEMON Tools a été infecté : une attaque de la chaîne d'approvisionnement est en cours depuis avril 2026 via les programmes d'installation distribués depuis le site officiel
Microsoft Edge : les mots de passe sont stockés en clair dans la mémoire, alors que le gestionnaire de mots de passe d'Edge semble sécurisé, avec un stockage chiffré et protégé
27 vulnérabilités ont été découvertes dans les gestionnaires de mots de passe basés sur le cloud : Bitwarden, LastPass, Dashlane et 1Password, ces vulnérabilités pourraient exposer les coffres-forts
Quand "12345" devient le mot de passe préféré des 18-25 ans : la génération Z est officiellement moins douée pour les mots de passe que les personnes âgées de 80 ans, selon une étude
60 % des mots de passe hachés en MD5 peuvent être piratés en moins d'une heure, selon Kaspersky
Répondre avec citation
Partager