Par Andréanne Bergeron, chercheuse en sécurité
Depuis toujours, les mots de passe constituent à la fois notre première ligne de défense et notre plus grande faiblesse. Leur évolution au cours des deux dernières décennies a été fascinante, reflétant non seulement les normes de sécurité, mais aussi les outils utilisés et les raccourcis que les internautes emploient. L'analyse des tendances entre 2007 et 2025 révèle une histoire faite de faux départs, d'habitudes bien ancrées, de progrès fulgurants et d'incitations technologiques qui ont modifié les comportements.
Points clés à retenir
- La robustesse des mots de passe (que nous avons définie pour cette étude comme le nombre estimé de tentatives nécessaires à un système de piratage standard pour retrouver un mot de passe) a été multipliée par 20 entre 2007 et 2025.
- Un sous-ensemble constant d'utilisateurs continue d'utiliser des mots de passe extrêmement faibles, devinables presque instantanément, comme le montrent les valeurs du 10e centile qui restent proches de zéro au cours des deux dernières décennies.
- Les mots de passe les plus robustes sont devenus nettement plus complexes ces dernières années, comme en témoigne la croissance spectaculaire du 90e centile au fil du temps (passant d'environ 100 millions de tentatives à la fin des années 2000 à plus d'un milliard en 2023 et au-delà).
- La limite supérieure de la force des mots de passe a fortement augmenté au fil du temps (reflétant l'adoption de pratiques de mots de passe plus sûres ou de méthodes de génération de mots de passe plus robustes au cours des dernières années).
- Deux augmentations de la robustesse des mots de passe se distinguent, en 2011 et en 2019, probablement dues respectivement à des changements de politique et à la mise en place de gestionnaires de mots de passe.
- Les mots de passe ne sont toujours pas parfaits : la cybersécurité moderne exige la collaboration de différents niveaux pour protéger les utilisateurs, et le rôle de la gestion de l’exposition aux menaces est d’identifier et d’atténuer les vulnérabilités avant que les acteurs malveillants ne les exploitent.
- Cette différence mesurable au fil des ans est due au travail de sensibilisation, de plaidoyer et d'amélioration des infrastructures numériques mené par les professionnels de la cybersécurité.
Analyse des changements de comportement des utilisateurs en matière de mots de passe
Chez Flare, nous collectons les identifiants divulgués sur Internet, et notre lac de données contient désormais plus de 216 milliards de lignes de données compromises. Pour étudier l'évolution des mots de passe au fil du temps, nous avons échantillonné aléatoirement 500 000 entrées par an, en utilisant… date de fuite Nous avons privilégié la date d'intégration dans notre système (les tests ont montré que nos échantillons de lac de données atteignent une stabilité autour de 50 000 lignes, tandis que 500 000 lignes offrent une fiabilité nettement supérieure ; nous avons utilisé ces résultats pour définir la taille annuelle de l'échantillon). Cela nous a permis de retracer l'évolution de la robustesse des mots de passe jusqu'en 2007.
La méthodologie
La robustesse d'un mot de passe peut être mesurée de différentes manières. L'entropie, une mesure théorique, exprime l'imprévisibilité en bits en supposant que chaque caractère est choisi aléatoirement. Bien qu'utile comme limite supérieure, l'entropie surestime systématiquement la sécurité des mots de passe réels, rarement aléatoires. Les utilisateurs ont tendance à privilégier des schémas prévisibles comme « Password123! » ou de simples substitutions.
Pour obtenir une image plus réaliste, nous avons eu recours à un outil pratique d'estimation de la résistance : zxcvbn (Développé par Dropbox)Au lieu de supposer un caractère aléatoire, zxcvbn estime, entre autres, le logarithme décimal du nombre de tentatives nécessaires à un attaquant, en se basant sur :
- Entropie
- Présence de mots du dictionnaire, de noms et de mots de passe courants (~30 000)
- Présence du mot de passe constatée dans des fuites connues
- Reconnaissance de formes (parcours de clavier, dates, séquences, leetspeak, caractères répétés)
Ce modèle offre une mesure empiriquement fondée de la robustesse des mots de passe, qui correspond mieux aux méthodes des attaquants réels. Grâce à lui, nous avons réalisé une analyse de séries temporelles afin d'observer l'évolution de la robustesse des mots de passe d'une année sur l'autre.
Analyse de l'évolution de la robustesse des mots de passe (2007-2025)
Évolution de la robustesse des mots de passe au fil du temps (2007-2025), calculée à partir du nombre estimé de tentatives nécessaires à un système de piratage standard pour retrouver un mot de passe.
Le graphique illustre l'évolution générale de la robustesse des mots de passe au fil des ans. Pour quantifier cette robustesse, nous indiquons le nombre estimé de tentatives nécessaires à un système de craquage standard pour retrouver un mot de passe. Cet indicateur fournit une mesure cohérente de la robustesse relative du corpus de mots de passe au fil du temps. Par souci de clarté, toutes les valeurs sont exprimées en millions de tentatives.
Indicateur de la robustesse globale du mot de passe : le nombre moyen de tentatives
La ligne violet foncé représente nombre moyen de tentatives Le nombre de mots de passe nécessaires pour identifier correctement un mot de passe au cours d'une année donnée constitue un indicateur de la robustesse globale des mots de passe. Plus la valeur moyenne est élevée, plus les mots de passe sont robustes et résistants aux attaques par devinette.
Différence entre les mots de passe faibles et les mots de passe forts : intervalle du 10e au 90e percentile
La zone ombrée en violet clair désigne l'intervalle du 10e au 90e percentile, capturant la variabilité autour de la moyenne et mettant en évidence les différences entre les sous-ensembles de mots de passe plus faibles et plus forts.
Plus précisément, le 10e centile désigne le segment le plus faible des mots de passe (10 % des mots de passe ont nécessité moins de tentatives que cette valeur pour être déchiffrés), tandis que le 90e centile désigne le segment le plus fort (90 % des mots de passe ont nécessité moins de tentatives que cette valeur, les 10 % restants étant encore plus résistants).
Autrement dit, les 10e et 90e percentiles définissent les limites inférieure et supérieure de la robustesse typique des mots de passe pour chaque année.
Évolution de la robustesse des mots de passe : augmentation du nombre estimé de tentatives
Enfin, la ligne pointillée rouge représente la tendance (pente), montrant que le nombre estimé de tentatives a augmenté de manière statistiquement significative au fil du temps, suggérant un renforcement progressif des mots de passe au cours de la période observée.
Le tableau ci-dessous présente une ventilation détaillée des chiffres pour chaque année :
| Année | Moyenne (millions de suppositions) | 10e centile (millions) | 90e centile (des millions) |
| 2007 | 0.75 | 0 | 737.76 |
| 2008 | 0.08 | 0 | 100 |
| 2009 | 0.25 | 0 | 100 |
| 2010 | 0.15 | 0 | 100 |
| 2011 | 1.39 | 0 | 145.61 |
| 2012 | 1.6 | 0 | 4,780.00 |
| 2013 | 0.46 | 0 | 453.13 |
| 2014 | 1.28 | 0 | 1,971.01 |
| 2015 | 8.37 | 0 | 10,000.00 |
| 2016 | 1.17 | 0 | 3,079.01 |
| 2017 | 1.36 | 0 | 1,000.00 |
| 2018 | 2.77 | 0 | 4,839.16 |
| 2019 | 5.08 | 0 | 10,000.00 |
| 2020 | 6.85 | 0 | 10,000.00 |
| 2021 | 1.56 | 0 | 1,300.15 |
| 2022 | 1.57 | 0 | 10,000.00 |
| 2023 | 11.1 | 0 | 1,000,000,000.00 |
| 2024 | 125.43 | 0.01 | 1,060,127.25 |
| 2025 | 15.96 | 0.01 | 98,487.93 |
Qu’est-ce qui a permis d’améliorer la robustesse des mots de passe au fil des ans ?
Au fil des années, les valeurs du 10e centile sont restées proches de zéro, ce qui montre qu'un sous-ensemble constant d'utilisateurs continue d'utiliser des mots de passe extrêmement faibles qui peuvent être devinés presque instantanément.
Cependant, la moyenne fluctue considérablement. Nous avons examiné les augmentations notables de la robustesse des mots de passe et analysé les tendances culturelles ou les politiques/normes susceptibles d'avoir influencé cette robustesse.
Première augmentation en 2011 : Mises à jour des normes et des politiques dans un contexte de couverture médiatique de « l’année du piratage »
En 2011, nous avons constaté une amélioration, la moyenne dépassant le million de tentatives. Cette année-là, plusieurs facteurs ont probablement convergé pour faire évoluer les pratiques en matière de mots de passe :
- Du côté des normes, PCI DSS 2.0 Cette mesure est entrée en vigueur, incitant de nombreuses organisations à revoir et à renforcer leurs politiques en matière de mots de passe.
- Parallèlement, une vague de violations de données très médiatisées, notamment les Panne du réseau PlayStation de Sony (77 millions de comptes) et le Compromission de RSA SecurID, ont maintenu l'authentification faible à la une des journaux et ont forcé des millions d'utilisateurs à réinitialiser leurs identifiants. Media Surnommée « l’année du piratage », 2011 a amplifié la sensibilisation du public et la pression sur les entreprises pour qu’elles améliorent leur sécurité.
- Cela a probablement conduit NIST pour enfin mettre à jour leurs directives fédérales en matière d'authentification électronique, qui étaient restées inchangées depuis 2006.
Ensemble, ces mises à jour des normes, les pressions liées à la conformité et les réinitialisations impulsées par l'actualité expliquent probablement la hausse mesurable de la robustesse des mots de passe qui devient visible dans les données entre 2011 et 2015.
Deuxième tendance en 2019 : l’essor des gestionnaires de mots de passe (autonomes et intégrés)
Nous avons ensuite observé une augmentation beaucoup plus importante à partir de 2019. Bien que les gestionnaires de mots de passe existent depuis le début des années 2000 (par exemple KeePass a été lancé pour la première fois en 2003., 1Password a été lancé en 2006.et LastPass a été fondé (en 2008), ils sont restés pendant de nombreuses années principalement des outils destinés aux passionnés et aux utilisateurs soucieux de la sécurité.
Ce n’est qu’au milieu des années 2010 qu’ils ont commencé à toucher un public plus large, grâce à leur intégration dans les systèmes d’exploitation et les applications :
- Apple a déployé iCloud Keychain et la synchronisation des mots de passe entre appareils en 2013
- Android a introduit une formalité Cadre de remplissage automatique autour 2017
- iOS 12 (2018) a autorisé les applications tierces à s'intégrer à Password AutoFill
Etudes Les données de la fin des années 2010 indiquaient encore une adoption relativement faible des gestionnaires autonomes ; cependant, entre 2023 et 2025, environ un sur trois Les adultes américains déclarent utiliser un gestionnaire de mots de passe (ou son équivalent intégré).
Cette trajectoire d'adoption correspond à ce que montrent nos données : à partir de 2022-2025 environ, la partie supérieure de la complexité des mots de passe augmente sous l'effet des mots de passe longs générés automatiquement via des outils de gestion.
Analyse des mots de passe les plus robustes (90e percentile)
Le 90e centile augmente considérablement au fil du temps (d'environ 100 millions de tentatives à la fin des années 2000 à plus d'un milliard en 2023 et au-delà), ce qui suggère que les mots de passe les plus forts sont devenus beaucoup plus complexes ces dernières années.
Globalement, les données indiquent que même si une partie des utilisateurs continuent de choisir des mots de passe faibles, la fourchette haute de la force des mots de passe a fortement augmenté au fil du temps, reflétant l'adoption de pratiques de mots de passe plus sûres ou de méthodes de génération de mots de passe plus robustes au cours des dernières années.
Améliorer la vie de millions de personnes grâce à une conception axée sur la sécurité
La leçon principale à retenir est que la robustesse des mots de passe dépend moins d'une discipline soudaine des individus que de la simplification des procédures grâce à la technologie. Les utilisateurs ne se sont pas réveillés un beau matin avec l'envie de mémoriser des suites de caractères incompréhensibles de 20 caractères.
Les plateformes ont alors commencé à les générer et à les mémoriser automatiquement. De plus, de nombreux sites web ont exigé des mots de passe plus robustes. Lorsque la solution la plus simple s'est alignée sur les bonnes pratiques, la sécurité a finalement progressé. Les données témoignent d'une réelle amélioration, grâce à l'adoption croissante des gestionnaires de mots de passe et à une meilleure sensibilisation des utilisateurs.
Malgré ces progrès constants, la plupart des mots de passe ne sont toujours pas suffisamment robustes pour résister efficacement aux techniques de piratage modernes. Il reste un travail considérable à accomplir, non seulement pour améliorer les pratiques de sécurité des mots de passe, mais aussi pour renforcer les défenses contre les données déjà compromises et les autres risques de cybersécurité. En cas d'identifiants piratés ou divulgués, les équipes de sécurité peuvent tirer parti de l'automatisation pour identifier et atténuer rapidement les vulnérabilités avant qu'elles ne soient exploitées.
La cybersécurité moderne exige une approche globale et multicouche conçue pour protéger les individus et les organisations grâce à de multiples filets de sécurité complémentaires. Parmi ces filets, la gestion de l'exposition aux menaces joue un rôle essentiel dans la réduction des risques et le maintien de la résilience face à l'évolution des menaces.
L'histoire des mots de passe ne se résume pas à des scores de complexité ou à des moyennes sur un graphique. Elle concerne la manière dont les choix de conception (comme l'intégration d'un gestionnaire de mots de passe dans les téléphones) ont modifié les habitudes de millions de personnes. Nous sommes passés de « 1234 » à des systèmes de sécurité automatisés, et même si le chemin parcouru n'a pas été linéaire, la direction est indéniable : des mots de passe plus robustes, plus intelligents et de plus en plus automatisés.
Les professionnels de la cybersécurité peuvent être fiers de cette évolution : l'éducation, la sensibilisation et de meilleurs outils font une différence mesurable.
Surveillez les identifiants divulgués avec Flare
Le La gestion des expositions aux cybermenaces de Flare Notre solution permet aux organisations de détecter, de hiérarchiser et d'atténuer de manière proactive les vulnérabilités fréquemment exploitées par les acteurs malveillants. Notre plateforme analyse automatiquement le web classique et le dark web, ainsi que les communautés des principaux acteurs malveillants, 24 h/24 et 7 j/7 afin de détecter les événements inconnus, de hiérarchiser les risques et de fournir des renseignements exploitables immédiatement pour améliorer la sécurité.
Flare s'intègre à votre programme de sécurité en 30 minutes et remplace souvent plusieurs outils SaaS et open source. Découvrez les menaces externes auxquelles votre organisation est exposée en vous inscrivant à notre programme. essai gratuit.
