La réutilisation des mots de passe est endémique : près de la moitié des connexions d'utilisateurs observées sont compromises

à cause de mots de passe réutilisés sur plusieurs comptes

La réutilisation des mots de passe est endémique : près de la moitié des connexions d'utilisateurs observées sont compromises, car malgré une sensibilisation croissante à la sécurité en ligne, les utilisateurs continuent de réutiliser leurs mots de passe sur plusieurs comptes. Selon un rapport de Cloudflare, 41 % des connexions réussies sur des sites web protégés par Cloudflare impliquent des mots de passe compromis.

L'accès à des contenus privés en ligne, qu'il s'agisse de consulter son courrier électronique ou de regarder sa série préférée, commence presque toujours par une étape de "connexion". Sous cette tâche quotidienne se cache une erreur humaine très répandue qui n'est toujours pas résolue : la réutilisation des mots de passe. De nombreux utilisateurs recyclent leurs mots de passe sur plusieurs services, ce qui crée un effet d'entraînement lorsque leurs informations d'identification sont divulguées.

En 2022, un rapport avait révélé que 90 % des travailleurs interrogés lors d'une enquête réutilisent leurs mots de passe malgré les protocoles de sécurité des entreprises. Pourtant, cette pratique est dangereuse, car les comptes professionnels compromis par des acteurs malveillants peuvent permettre aux pirates d'accéder à l'ensemble du système de l'entreprise.

Plus récemment, Cloudflare a publié un rapport qui révèle que malgré une sensibilisation croissante à la sécurité en ligne, les utilisateurs continuent de réutiliser leurs mots de passe sur plusieurs comptes. Sur la base du trafic observé par Cloudflare entre septembre et novembre 2024, 41 % des connexions réussies sur des sites web protégés par Cloudflare impliquent des mots de passe compromis.

Le rapport explore l'impact généralisé de la réutilisation des mots de passe, en se concentrant sur la façon dont elle affecte les systèmes de gestion de contenu (CMS) populaires, le comportement des robots par rapport aux humains dans les tentatives de connexion, et la façon dont les attaquants exploitent les informations d'identification volées pour prendre le contrôle des comptes à l'échelle.

Fait intéressant, un rapport de 2023 s'était déjà penché sur les mots de passe en se concentrant sur leurs solidités. Le rapport avait notamment montré que l'utilisation de mots de passe faibles reste largement répandue parmi les internautes du monde entier malgré les sensibilisations des experts en cybersécurité. Le pire mot de passe le plus utilisé dans le monde en 2023 était de loin "123456". Rien qu'en France, le rapport a compté plus de 86 000 entrées de ce mot de passe.

En outre, presque la totalité des dix premiers mots de passe les plus utilisés dans le monde peut être déchiffrée en moins d'une seconde à l'aide de simples outils de force brute. Toujours en France, les mots de passe les plus fréquents en 2023 comprenaient également : "motdepasse", "marseille", "azerty", "admin", etc. Ces différents rapports devraient permettre à la majorité des utilisateurs de repenser les pratiques en matière de mots de passe.


Présentation du rapport de Cloudflare

Dans le cadre de son offre de sécurité des applications, Cloudflare propose une fonctionnalité gratuite qui vérifie si un mot de passe a été divulgué lors d'une violation de données connue d'un autre service ou d'une autre application sur Internet. Lorsque de ces vérifications, Cloudflare affirme ne pas accéder aux mots de passe en clair des utilisateurs finaux et ne les stocke pas.

Ils auraient mis en place un service de vérification des informations d'identification qui préserve la vie privée et protège les utilisateurs des informations d'identification compromises. Les mots de passe sont hachés, c'est-à-dire convertis en une chaîne aléatoire de caractères à l'aide d'un algorithme de chiffrement, afin de les comparer à une base de données d'identifiants divulgués. Cela permet non seulement d'avertir les propriétaires de sites que les informations d'identification de leurs utilisateurs finaux peuvent être compromises, mais aussi de réinitialiser le mot de passe ou d'activer le MFA.

Ces protections aident à prévenir les attaques qui utilisent des tentatives automatisées pour deviner des informations, comme les noms d'utilisateur et les mots de passe, afin d'accéder à un système ou à un réseau.

L'analyse de données du rapport de Cloudflare se concentrait donc sur le trafic des propriétés Internet sur ce plan gratuit, qui inclut la détection des fuites d'informations d'identification en tant que fonctionnalité intégrée. Les fuites d'informations d'identification désignent les noms d'utilisateur et les mots de passe exposés lors de violations de données connues ou de vidages d'informations d'identification.

Pour ce rapport, l'analyse s'est concentré spécifiquement sur les fuites de mots de passe. Avec 30 millions de propriétés Internet, soit environ 20 % du web, derrière Cloudflare, cette analyse fournit des informations significatives. Les données reflètent principalement les tendances observées après le lancement du système de détection pendant la semaine des anniversaires en septembre 2024.



Près de 41 % des connexions sont à risque

L'un des plus grands défis de l'authentification est de distinguer les utilisateurs humains légitimes des acteurs malveillants. Pour comprendre le comportement humain, l'analyse s'est concentré sur les tentatives de connexion réussies (celles qui renvoient un code d'état 200 OK), car elles fournissent l'indication la plus claire de l'activité de l'utilisateur et du risque réel pour le compte. Les données révèlent qu'environ 41 % des tentatives d'authentification humaine réussies impliquent une fuite d'informations d'identification.

Malgré une sensibilisation croissante à la sécurité en ligne, une grande partie des utilisateurs continuent de réutiliser leurs mots de passe sur plusieurs comptes. Selon une étude récente de Forbes, les utilisateurs réutilisent en moyenne leur mot de passe sur quatre comptes différents. Même après des brèches importantes, de nombreuses personnes ne modifient pas leurs mots de passe compromis ou continuent d'utiliser des variantes de ceux-ci sur différents services. Pour ces utilisateurs, la question n'est pas de savoir "si" les attaquants utiliseront leurs mots de passe compromis, mais "quand".


Lorsqu'on inclut dans cette analyse le trafic généré par les bots, le problème des fuites d'informations d'identification devient encore plus évident. Les données révèlent que 52 % de toutes les demandes d'authentification détectées contiennent des fuites de mots de passe trouvés dans la base de données Cloudflare de plus de 15 milliards d'enregistrements, y compris l'ensemble de données de fuites de mots de passe Have I Been Pwned (HIBP).


Ce pourcentage représente des centaines de millions de demandes d'authentification quotidiennes, provenant à la fois de bots et d'humains. Même si toutes les tentatives ne sont pas couronnées de succès, le simple volume de fuites de mots de passe dans le trafic réel illustre à quel point la réutilisation des mots de passe est courante. Un grand nombre de ces informations d'identification divulguées permettent toujours un accès valide, ce qui amplifie le risque de prise de contrôle d'un compte.

Les attaquants utilisent massivement des ensembles de données de mots de passe ayant fait l'objet d'une fuite

Les données indiquent que 95 % des tentatives de connexion impliquant des fuites de mots de passe proviennent de bots, ce qui indique qu'ils font partie d'attaques par bourrage de mots de passe.

Équipés d'informations d'identification volées lors de violations, les bots ciblent systématiquement les sites web à grande échelle, testant des milliers de combinaisons de connexion en quelques secondes.


Les données du réseau Cloudflare révèlent cette tendance, en montrant que les attaques menées par des bots restent alarmantes au fil du temps. Les plateformes populaires telles que WordPress, Joomla et Drupal sont des cibles fréquentes, en raison de leur utilisation répandue et de leurs vulnérabilités exploitables.

Une fois que les bots ont réussi à s'introduire dans un compte, les attaquants réutilisent les mêmes informations d'identification dans d'autres services afin d'élargir leur champ d'action. Ils tentent même parfois d'échapper à la détection en utilisant des tactiques d'évasion sophistiquées, telles que la diffusion des tentatives de connexion sur différentes adresses IP sources ou l'imitation du comportement humain, en essayant de se fondre dans le trafic légitime.

Il en résulte un vecteur de menace constant et automatisé qui défie les mesures de sécurité traditionnelles et exploite le maillon le plus faible : la réutilisation des mots de passe.

Attaques par force brute contre WordPress

Les systèmes de gestion de contenu (CMS) sont utilisés pour créer des sites web et s'appuient souvent sur des plugins d'authentification et de connexion simples. C'est pratique, mais cela en fait aussi des cibles fréquentes d'attaques par bourrage de mots de passe en raison de leur adoption généralisée. WordPress est un système de gestion de contenu très populaire, dont le format de page de connexion est bien connu. C'est pourquoi les sites web construits sur WordPress deviennent souvent des cibles pour les attaquants.

Sur l'ensemble du réseau Cloudflare, WordPress représente une part importante des demandes d'authentification. Cela n'a rien de surprenant compte tenu de sa part de marché. Cependant, ce qui est frappant, c'est le nombre alarmant de connexions réussies à l'aide de mots de passe divulgués, en particulier par des bots.


76 % des tentatives de connexion à l'aide de mots de passe fuités pour des sites web construits sur WordPress sont couronnées de succès. Parmi ces tentatives, 48 % sont le fait de bots. Ce chiffre choquant indique que près de la moitié des connexions réussies sont exécutées par des systèmes non autorisés conçus pour exploiter des informations d'identification volées. Un accès non autorisé réussi est souvent la première étape d'une attaque par prise de contrôle d'un compte (ATO).

Les 52 % restants proviennent d'utilisateurs légitimes qui ne sont pas des robots. Ce chiffre, supérieur à la...