‘123456’; « administrateur » ; et « 12345678 » étaient à nouveau les mots de passe les plus répétés dans le monde en 2025. Ils étaient suivis par d’autres tout aussi faibles et prévisibles comme « password », « Pass@123 » ou « admin123 », que tout cybercriminel obtiendrait en quelques secondes seulement. Ce jeudi 7 mai est célébrée la Journée mondiale du mot de passe, une initiative promue pour sensibiliser les utilisateurs à l’importance d’utiliser des méthodes robustes pour garantir une identification sécurisée. Et la vérité est que plusieurs experts en cybersécurité prédisent que les mots de passe sont sur le point de céder la place à des alternatives plus sécurisées.
« Nous sommes confrontés au début de la fin des mots de passe tels que nous les connaissons », déclare Javier Vega, responsable de la sécurité chez Cylum. « Même s’ils ne disparaîtront pas immédiatement, leur rôle cesse d’être central. A sa place, s’impose une approche basée sur de multiples signaux de vérification, qui combine biométrie, dispositifs de confiance et contexte d’accès. » Selon Factum, une entreprise espagnole spécialisée dans la cybersécurité, le modèle traditionnel basé sur les mots de passe commence à montrer des signes évidents d’épuisement face à un environnement de menaces hautement industrialisé.
Les passe-clés gagnent du terrain
Les mots de passe traditionnels sont particulièrement vulnérables aux attaques de phishing. En effet, ils réunissent trois facteurs essentiels : le volume, la réutilisabilité et la prévisibilité. Selon les données INCIBE, plus de 90 % des incidents de sécurité gérés proviennent de la compromission d’identifiants ou de l’utilisation de mots de passe faibles ou réutilisés.
Dans ce contexte, l’authentification multifacteur et les « mots de passe » (également le jeton physique) commencent à gagner du terrain et sont déjà utilisés par de grandes entreprises comme Amazon ou Google et par les services publics du monde entier. Il s’agit essentiellement d’un système de connexion qui remplace les mots de passe par une authentification et une biométrie basées sur l’appareil. Au lieu de s’appuyer sur une combinaison alphanumérique qui pourrait être volée ou divulguée, l’utilisateur autorise l’accès à son compte en utilisant des méthodes biométriques (empreinte digitale ou reconnaissance faciale) ou un simple code PIN pour déverrouiller l’appareil.
L’avancée vers ces environnements est progressive, nécessitant du temps, des ressources et l’adaptation des utilisateurs. Le risque n’est pas éliminé, souligne Factum, mais il est plutôt transformé. « La sécurité dépend désormais fortement de la protection des appareils et de la gestion du cycle de vie des identités. Un appareil compromis ou des processus de récupération de compte mal conçus deviennent de nouvelles surfaces d’attaque que les organisations doivent surveiller de près.
Comment créer des clés sécurisées
Les experts répètent chaque année le conseil pour créer des mots de passe robustes : n’utilisez pas le même pour tous les comptes ; qu’ils soient longs, qu’ils comprennent des lettres majuscules, des lettres minuscules, des chiffres et des caractères spéciaux, qu’ils ne comportent pas de données évidentes (nom ou date de naissance), qu’ils évitent les séquences de clavier, qu’ils utilisent un gestionnaire de mots de passe qui stocke tous les mots de passe sous un identifiant « maître », qu’ils utilisent une authentification à deux facteurs lorsque cela est possible (un SMS, un code ou une reconnaissance faciale) ou qu’ils les changent souvent.
Et ils mettent également en garde contre l’importance que les mots de passe soient particulièrement robustes face à l’essor des nouvelles technologies, notamment l’intelligence artificielle et l’informatique quantique, grâce auxquelles il est beaucoup plus facile de briser les systèmes de sécurité actuels.
« L’intelligence artificielle ne détruit pas la cybersécurité, elle l’accélère pour le meilleur et pour le pire ; et l’informatique quantique n’est pas l’apocalypse, mais c’est un changement structurel dans la façon dont nous protégeons les informations », a déclaré à EFE Hervé Lambert, responsable des opérations mondiales de consommation de la multinationale Panda Security, et a souligné qu' »au lieu de machines qui exécutent des ordres, nous sommes désormais confrontés à des systèmes qui apprennent, prédisent et optimisent l’attaque ».