Ce que les pires mots de passes disent vraiment

tbowan

25 Novembre 2020

Un nouveau classement des pires mots de passes et toujours les mêmes en tête de liste. À croire que les utilisateurs ne retiennent rien ? Et si tout ça n’était que du vent ?

Comme chaque fin d’année, les sites spécialisés nous publient leur « TOP des pires mots de passes de l’année ». Je sais, on est fin novembre, on a consommé que 90% de 2020, rien n’est encore joué. Mais s’ils tardent à publier, c’est un concurrent qui le fera et ça n’est pas acceptable (et puis c’est le cyber month1 donc tout est permis).

Par exemple, voici les 5 premiers du top 200 publié par nordpass.com (après analyse de 275 million de mots de passes).

Position Mot de passe Utilisations Difficulté Expositions
⬆️ 123456 2543285 < 1s 23597311
⬆️ 123456789 961435 < 1s 7870694
🆕 picture1 371612 3 heures 11190
⬆️ password 360467 < 1s 3759315
⬆️ 12345678 322187 < 1s 2944615

On y retrouve l’indétrônable 123456 (deux premières lignes du clavier numérique) et son frère 123456789 (une ligne de plus pour 1/3 de sécurité en plus), l’humoristique password (l’interface me dit « enter your password », j’obéi) et le petit nouveau picture1 (pour lequel je n’ai pas d’explication).

Que c’est tryste, illustration de Myriams-Fotos.

Je pourrais ainsi continuer à commenter la liste (oui, je sais, c’est un tableau)…

Parmi les stars, iloveyou historiquement dans le Top 1 au début d’Internet poursuit sa déchéance puisqu’il est tombé en 17ème position (ainsi que son pote letmein qui tombe à la 171ème place). qwertyuiop, première ligne du clavier chez nos nombreux voisins est 25ème, largement devant azerty 162ème (azertyuiop n’étant même pas classé).

Vous avez saisi l’idée… On pourrait occuper son petit monde un moment en commentaires de ce genre sans jamais vraiment rien vous dire d’utile ou véritablement intéressant (sauf quand c’est moi qui le dit, car je suis toujours intéressant).

Alors, derrière ces commentaires à l’utilité discutable, qu’est-ce que la publication de ces listes dit vraiment ?

Divulgâchage : En vrai, ces mots de passes ne sont pas représentatifs du tout, mais comme ça confirme nos préjugés et sert la narration marketing, pourquoi s’en priver…

Honte, Schadenfreude et viralité

Au premier niveau de lecture, ces listes jettent la honte sur ceux qui utilisent encore ces mots de passes.

« Il semble que beaucoup d’entre nous soient encore réticents à utiliser des mots de passe forts et difficiles à cracker. A la place, nous choisissons des options comme “football”, “iloveyou”, “letmein” et “pokemon”. »

ZDNET.com dans son article du 21 novembre 2020.

Ces classements sont pourtant régulièrement et largement publiés et pourtant, le classement ne change presque pas (on verra plus loin pourquoi). On peut donc raisonnablement se demander pourquoi tous ces gens ne changent pas leurs habitudes, ça n’est pourtant pas si compliqué…

Sont-ils bêtes à ce point ? Non bien sûr (on verra plus loin pourquoi aussi).

Rire du malheur des autres. Illustration de Alexs_Fotos

En fait, le sentiment qui domine et justifie la publication et le partage de ces listes, serait plutôt la Schadenfreude…

La schadenfreude : joie malsaine qu’on éprouve en observant le malheur d’autrui.

Wikipedia.

En voyant ces listes, on éprouve en fait un petit bonheur intime en constatant que nos mots de passes n’y figurent pas. Contrairement à de si nombreuses personnes (150 million d’après les chiffres) qui, eux, y sont.

« Mouhahahaha »

Et c’est pour ça que ces publications peuvent se partager. Contrairement à la honte qui est négative (et les réseaux sociaux n’aiment pas les émotions négatives), la schadenfreude est positive (et ça, les réseaux aiment bien).

Du coup, ça se partage volontiers. Comme les autres cyber faits-divers en fait.

Placement de produit

En grattant un peu (mais vraiment pas beaucoup), on se rend compte que ces publications servent en réalité de prétexte pour se faire de la pub. Qui pour son produit, qui pour ses services, qui pour son expertise et son personnal branding

Sauf chez les arsouyes, on est pas de ce genre 🙄.

Placement de produit…

Pour vous montrer à quel point c’est du marketing, revenons à la source, la page de nordpass. Elle montre un tableau, mais vous pouvez chercher à copier ses données pour les analyser, vous allez galérer :

Tout est fait pour éviter la republication des données et pousser à partager la page d’origine (ou au mieux une capture d’écran).

Pour ceux qui seraient intéressés, on a récupéré les données, tout rangé comme il faut dans un CSV et on vous le proposes : top200_nordpass.csv (sans même vous demander d’inscription à une mailing liste…).

Sinon, on retourne sur la page, on regarde juste en dessous du tableau, on voit un gros bouton super visible marqué « Free Download », on se dit que c’est sympa, on clique et lorsqu’on voit qu’il nous demande où mettre son .exe on se dit qu’on s’est fait avoir (on veut des données, pas un programme).

Encart adjacent au tableau chez nordpass.

Plutôt que les données, l’encart nous propose en fait de télécharger leur outil pour éviter que nos mots de passes ne soient dans la liste de l’année prochaine…

C’est systématique chez les white hats, après vous avoir fait peur, on vous vend un produit qui, magie, résoudra le problème.

C’est d’autant plus grossier qu’en fait leur outil ne sert pas immédiatement à protéger votre mot de passe de ce genre de listing. Il permet effectivement de générer puis de stocker chez vous ces mots de passes. Mais contre la fuite d’une base de donnée, c’est plutôt la responsabilité des développeurs…

Quid des développeurs ?

Si c’est pas une super transition ça !?

Maintenant qu’on a fini de se moquer des victimes et des messagers, on peut tourner notre regard vers les responsables : les développeurs.

Après tout, comment ces mots de passes, sensés être super protégés par les applications qui les stockent, peuvent-ils se retrouver en clair sur internet ? Ils nous avaient pourtant promis, dans leur politique de confidentialité, qu’ils y feraient attention comme a la prunelle de leurs yeux.

Ça n’aurait pas du se passer comme ça. Illustration de Andreas160578

Qu’une base de donnée fuite, ça fait partie des choses qui arrivent. C’est moche, les administrateurs système et réseaux auraient peut être pu y faire quelque chose (quoi que si la fuite vient d’un insider ou d’un bogue ils n’y peuvent pas grand chose).

Lorsqu’on stocke les mots de passes des utilisateurs, il faut partir du principe que la base fuitera et donc faire de la défense en profondeur2 :

  • En hachant les mots de passes pour éviter qu’ils ne soient lisibles,
  • En ajoutant un sel pour éviter les attaques par dictionnaire,
  • En utilisant des fonctions spécifique pour ralentir le brute force.

Pourtant, c’est pas faute de répéter partout qu’il faut porter une attention spécifique aux mots de passes. L’ANSSI a publié des Recommandations pour la sécurisation des sites web en 2013 et qui le mentionne explicitement (R22 pour le hachage et R23 pour le salage).

Nous-même avions publié un (super) article sur le stockage des mots de passes des utilisateurs en 2019. Tout le monde a eu le temps de corriger tout ça depuis !

Alors on peut se mettre à douter de ces listes…

Quid des données ?

Poussons donc un peu plus loin et regardons avec un peu plus d’attention ce que contiennent vraiment ces listes…

Et on se rendra compte que c’est bidon…

Cruelle déception. Illustration de Silviarita

Pas de source. Les auteurs nous disent avoir analysé 275 million de mots de passes, issus de fuites en 2019 et 2020 mais ne fournissent aucune référence vers ces fameuses fuites ni vers leurs contenus. Ils ne publient d’ailleurs pas tous les mots de passes trouvés mais seulement un extrait des 200 plus fréquents.

Peut être un point de détail, mais mon côté expert judiciaire s’irrite lorsque les analyses ne sont pas transparentes… Cacher des trucs dans les manches, c’est généralement pas bon signe.

Ce top représente 4% des mots de passes analysés. Autant dire une goute d’eau dans l’océan des possibles. D’ailleurs, ils ne disent pas qu’ils les ont tous trouvés mais analysés

Plutôt que se dire que beaucoup de gens utilisent encore des mots de passes faibles, on peut aussi se dire que 96% d’entre s’en sortent très bien.

Plein de vieux mots de passes. Autant c’est normal que de vieux prénoms remontent régulièrement dans les statistiques (la mode est un éternel recommencement) mais pour des mots de passes… iloveyou, letmein ou encore myspace1 (80ème avec 26363 occurrences). Il y a de quoi s’interroger sur la provenance des bases de données en question…

Si l’analyse porte sur des bases d’utilisateurs de 1990 qui ont fuité en 2020, est-ce que ça dit vraiment quelque chose des usages actuels ?

Que des mots de passes simples. Ce qui me frappe dans cette liste, c’est qu’aucun mot de passe n’est vraiment compliqué. Mis à part un ovni (dont on parlera plus tard), tous sont d’une simplicité déconcertante.

Pourtant, je m’attendrais à voir plus de constructions impliquant des caractères exotiques, comme qwerty123&1, qui passent ainsi les contraintes de complexité imposées par les sites tout en restant simples à retenir. Mais non, pas un seul petit morceau de dièse ou d’exclamation.

Si l’analyse ne porte que sur les mots de passes déjà vu l’an passé, voilà pourquoi les résultats ne change pas d’une année à l’autre.

Des bots ? Si on regarde les chiffres, on trouve d’autres choses étranges…

Les robots aussi sont sur Internet. Illustration de vinsky2002

Si on écarte les explications évidentes (les extra-terrestres qui installent la 5G pour que Bill Gates nous vaccine contre les reptiliens qui veulent nous exterminer avec la COVID19, ou l’inverse, j’ai un doute), je penche plus sur des robots qui créent plein de comptes pour que leur maître puisse exploser son compteur de likes (ou produise, contre rémunération, des commentaires élogieux ou non sur le compte d’untel).

Si la base contient plein de robots, est-ce que les mots de passes sont représentatifs des humains (et des reptiliens) ?

Des comptes vides. À force de nous demander de créer un compte pour tout et n’importe quoi, juste pour le plaisir de grossir les bases de données (alors qu’on sait très bien qu’on ne reviendra jamais), on y met n’importe quoi. Des adresses de courriel jetable et, bien sûr, des mots de passes bidons…

C’est dommage car non seulement on se retrouve avec une base de « prospects » complètement fausse mais la création d’un compte est en fait un frein à la conversion. La preuve ? la suppression de cette étape a rapporté 300 millions d’euros.

Lorsqu’on utilise un mot de passe aussi faible que 123456 (et toutes ses variantes jusqu’au simplissime 0, 15ème place, vu 123000 fois), on sait qu’on ne fait ni preuve d’originalité, ni de prudence. On le fait en connaissance de cause parce que le compte qu’on configure ne nous intéresse pas.

En fait, ce ne sont pas les utilisateurs qui sont bêtes avec leurs mots de passes faibles.

Et maintenant ?

Scientifiquement, on aurait du parler du « classement des pires mots de passes habituellement utilisé pour des faux comptes et des robots depuis 1980 et ne contenant que des lettres et des chiffres représentant 4% des possibles ». Je sais, c’est long comme titre.

Un petit tour et c’est arrangé. Illustration de harukachan12

Pour simplifier, on oublie tout ces petits détails méthodologiques inutiles et insignifiants pour ne retenir que l’essentiel, « le classement des pires mots de passes de 2020 » (parce qu’on publie en 2020 après tout).

Ceux qui n’utilisent pas ces mots de passes seront rassurés et leur Schadenfreude les poussera à partager, se faisant un petit peu de publicité au passage. Avec de la chance, les autres pourraient acheter…

Au final, comme toujours lorsque l’information vient d’une entreprise pour servir son propos (ça marche tout pareil pour les pesticides ou le changement climatique) ça n’est pas de l’information, c’est de la communication.

Sauf chez les arsouyes (pas faute de vous le répéter).

Et après ?

Si vous voulez plus d’articles sur la scène cyber et savoir qui est qui, celui-ci devrait répondre à toutes vos questions.

La couleur du chapeau, un point de vue

31 Août 2020 Lorsqu’on s’intéresse à la sécurité informatique, on est rapidement confronté à la couleur du chapeau. Blanc et noir sensés indiquer, parmi les hackers, qui sont les bons et qui sont les mauvais. C’est en réalité bien plus complexe que ça en a l’air et aussi bien moins sérieux qu’on le prétend.


  1. Ou Mois de la Sécurité informatique. Je ne commenterai pas.↩︎

  2. Comme la France en demi finale de la coupe du monde de football de 2018 contre la Belgique, pourtant la meilleure équipe mais qui n’a pas pu passer un rideau défensif bien organisé (et fourni).↩︎