Plus de six milliards de mots de passe ont été siphonnés par des malwares en 2025. Même les mots de passe complexes et bien sécurisés n’échappent pas aux virus de type infostealer. Ces identifiants compromis offrent aux cybercriminels un carburant inépuisable pour leurs attaques.
Les chercheurs de Specops viennent de publier leur rapport annuel consacré aux mots de passe compromis. L’étude révèle tout d’abord que plus de six milliards de mots de passe ont été piratés par des logiciels malveillants tout au long de l’année dernière. La majorité des vols ont été perpétrée par des malwares de type « infostealer ». Il s’agit de malwares qui infectent des ordinateurs pour aspirer toutes les données qu’ils peuvent y trouver, comme des mots de passe enregistrés, des cookies, des mails et d’autres informations personnelles. Ces données sont extraites et incorporées à des répertoires échangés sur des plateformes criminelles, notamment sur le dark web.
Comme l’explique le rapport, partagé avec 01net, les mots de passe sont « collectés à grande échelle, agrégés dans d’immenses bases de données et réutilisés de manière répétée » par des cybercriminels dans le cadre de leurs méfaits. Les mots de passe et identifiants récupérés par les pirates servent ultérieurement à alimenter des cyberattaques. Capturés « par des malwares », les mots de passe sont « conservés pour une exploitation continue », ce qui permet aux attaquants « de tenter des accès à répétition dans le temps », souligne Specops.
C’est à l’origine de ce qu’on appelle une attaque de « credential stuffing », ou « bourrage d’identifiants » en français. Cette tactique criminelle consiste tout simplement à utiliser des identifiants volés sur une plateforme pour accéder à d’autres comptes sur d’autres services en ligne. C’est notamment ce qu’il s’est passé lors du dernier piratage de l’Urssaf. L’attaque découle directement du vol d’un mot de passe permettant d’accéder au compte d’un des prestataires de l’organisme.
À lire aussi : Cyberattaque contre le ministère de l’Intérieur – une incroyable négligence est à l’origine de l’intrusion
Quels sont les mots de passe les plus piratés de 2025 ?
Les chercheurs se sont longuement penchés sur les six milliards de mots de passe piratés l’an dernier. En analysant les répertoires de données compromises, ils se sont rendu compte que les mots de passe composés de huit caractères « sont les plus fréquemment volés ». En effet, 18 % de l’ensemble des mots de passe analysés par Specops ne comprennent que huit caractères. Les chercheurs ont aussi trouvé énormément de mots de passe de 9 ou 10 caractères. Or, la plupart des spécialistes de la cybersécurité recommandent d’opter pour un mot de passe d’au moins 12 à 16 caractères. Cette précaution évite que le mot de passe soit rapidement deviné par des algorithmes dédiés.
Néanmoins, un mot de passe long et complexe est également susceptible d’être compromis. Un virus infiltré sur votre ordinateur pourra en effet s’emparer de celui-ci, même s’il est composé d’une suite complexe de caractères, de la même manière qu’il pourra pirater un mot de passe faible. La prédominance des mots de passe démontre surtout que de nombreux internautes négligent encore tout simplement les règles de base de la cybersécurité. La présence de nombreux mots de passe faibles et répandus dans les données analysées confirme la négligence de la majorité des usagers. Les chercheurs ont en effet trouvé beaucoup de mots de passe faciles à deviner dans les répertoires étudiés, comme 123456, 123456789, 12345678, admin et password. Ces combinaisons sont tristement connues comme les pires mots de passe qui existent.
« Malgré des années de sensibilisation et la mise en place de politiques de mots de passe basées sur la complexité, les attaquants continuent de rencontrer les mêmes identifiants faibles et prévisibles sur les systèmes. […] La robustesse d’un mot de passe repose sur sa longueur — souvent obtenue via des phrases de passe — associée à une vérification continue des mots de passe compromis, et non sur la complexité seule », explique Darren James, responsable chez Specops Software.
En d’autres termes, il ne suffit pas de choisir un mot de passe complexe pour s’estimer tranquille. Après avoir opté pour un code complexe, qui remplit tous les critères des experts de la sécurité, il faut impérativement garder un œil sur les mots de passe qui circulent dans les milieux criminels. En clair, vous devez vous assurer que votre mot de passe ultra-sécurisé reste sécurisé, et connu de vous seul.
Plusieurs outils, comme le site Have I Been Pwned, permettent de surveiller le dark web et de s’assurer que vos données n’ont pas été piratées. Si votre mot de passe apparaît dans une base de données, il faut évidemment le changer dans les plus brefs délais. Parmi les bonnes pratiques à adopter, on trouve tout d’abord le changement régulier de vos mots de passe. De cette manière, un mot de passe piraté ne pourra pas être utilisé des années plus tard.
« Il ne s’agit plus seulement de savoir si un mot de passe respecte une politique donnée, mais s’il demeure sécurisé dans un écosystème où les identifiants sont collectés, agrégés et revendus de manière permanente », estime le rapport.
À lire aussi : Ces 5 cyberattaques montrent qu’un bon mot de passe est indispensable
Le plus redoutable voleur de données de 2025
En parallèle, l’étude s’est penchée sur les causes à l’origine de l’explosion des vols de mots de passe, à savoir les infostealers. Parmi les virus les plus prolifiques de l’année, on trouve, en tête de liste, LummaC2. Distribué depuis fin 2022 sur des forums russes, le virus cible principalement les identifiants, mots de passe, portefeuilles crypto, les extensions de double authentification et les données des navigateurs sur Windows. En partie démantelé en mai 2025 lors d’une opération orchestrée par Microsoft, le virus est revenu sur le devant de la scène dans le courant de l’été.
Malgré les efforts déployés par les forces de l’ordre, le malware est responsable du vol de plus de 60 millions d’identifiants en 2025. En deuxième position, on trouve RedLine, avec 31 millions de mots de passe compromis, suivi par Vidar (5,9 millions), StealC (3,4 millions) et Raccoon Stealer (1,6 million).
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.