Quand "12345" devient le mot de passe préféré des 18-25 ans : la génération Z est officiellement moins douée pour les mots de passe que les personnes âgées de 80 ans, selon une étude

Quand "12345” devient le mot de passe préféré des 18-25 ans :
la génération Z est officiellement moins douée pour les mots de passe que les personnes âgées de 80 ans, selon une étude

L’image est tenace : les jeunes nés avec un smartphone en main seraient naturellement plus compétents, mieux informés et plus attentifs aux pratiques élémentaires de cybersécurité. Pourtant, les données publiées récemment montrent exactement l’inverse. Selon l’analyse de NordPass, les membres de la génération Z seraient aujourd’hui objectivement moins bons dans la gestion de leurs mots de passe que des utilisateurs de plus de 80 ans. Ce constat, presque provocateur, ouvre une réflexion profonde sur la réalité des usages numériques et l’illusion trompeuse qui entoure le concept de « digital native ».

La génération Z peut descendre de ses grands chevaux numériques, car ses mots de passe ne sont pas plus sûrs que ceux de ses grands-parents. Selon NordPass, il n'y a pas de réelle différence entre la sécurité des mots de passe utilisés par la jeune génération et celle de leurs ancêtres supposés analphabètes en matière de technologie. En fait, l'analyse des mots de passe réalisée cette année par la société de sécurité montre que le choix le plus courant parmi les personnes nées en 1997 et après était plus faible que celui de presque toutes les autres générations... d'un chiffre.

« 12345 » était le choix numéro un des Zoomers cette année, tandis que les Millennials, la génération X et les Boomers préféraient le « 123456 », nettement supérieur. Voilà pour le titre de « natifs du numérique » souvent attribué à la plus jeune génération.

Les variantes de « 123456 » figuraient parmi les plus courantes pour tous les groupes d'âge, cette chaîne exacte s'avérant être la plus courante parmi tous les utilisateurs – c'est la sixième fois en sept ans qu'elle détient cette couronne peu enviable.

Les plus audacieux s'aventuraient jusqu'à « 1234567 », tandis que les cryptologues en herbe renforçaient la sécurité de leurs comptes en ajoutant un 8 ou même un 9 à la combinaison.

Cependant, selon le vérificateur de sécurité des mots de passe de Security.org, un ordinateur pourrait les pirater instantanément.

La plupart des pirates n'auraient même pas besoin de dépenser les ressources nécessaires pour révéler le mot de passe, étant donné leur utilisation courante. Il leur suffirait de tester une liste de mots de passe connus sur une API d'authentification pour obtenir rapidement gain de cause.

On découvre que la génération Z privilégie des mots de passe encore plus simples que ceux utilisés par les plus âgés. Les octogénaires utilisent souvent des prénoms ou des expressions personnalisées, certes prévisibles, mais un minimum contextualisées. À l’inverse, les jeunes optent massivement pour des suites numériques élémentaires comme « 12345 » ou « 12345678 », voire pour des termes issus de leur culture pop instantanée, comme « skibidi ». Autrement dit, des termes qui s’insèrent parfaitement dans les dictionnaires des cybercriminels.

Ce décalage révèle que la familiarité avec les outils numériques n’a jamais garanti une meilleure discipline. La génération Z, qui passe pourtant une partie de sa vie sur des plateformes en ligne, adopte des comportements étonnamment négligents dès qu’il s’agit de sécuriser ses accès.

NordPass a déclaré : « Malgré les efforts considérables déployés au fil des ans pour sensibiliser les utilisateurs à la cybersécurité par le biais de campagnes de sensibilisation, nos données montrent que les habitudes en matière d'hygiène et de sécurité des mots de passe ne se sont guère améliorées.


Méthodologie et contexte

Les chiffres analysés par NordPass, en collaboration avec NordStellar, proviennent d’ensembles massifs de mots de passe compromis, récupérés dans des brèches de données entre 2024 et 2025. Ces données ont été agrégées et segmentées par génération : la génération Z (1997-2007), les Millennials (1981-1996), la génération X (1965-1980), les Baby-Boomers (1946-1964) et la « Silent Generation » (née avant 1946).

Principaux résultats

L’étude met en lumière plusieurs constats clés :

• Le mot de passe « 12345 » figure comme choix principal chez la génération Z, alors que « 123456 » occupe la première place chez les Millennials, génération X et Baby-Boomers.
• La séquence « 123456 » reste globalement le mot de passe le plus courant parmi tous les utilisateurs, toutes générations confondues, pour la sixième année consécutive.
• Malgré les campagnes de sensibilisation, l’hygiène des mots de passe n’évolue que très peu : « des efforts significatifs ont été faits, mais nos données montrent peu d’amélioration dans les habitudes de sécurité des mots de passe », selon NordPass.
• On observe cependant une légère amélioration : cette année, 32 mots de passe dans le top 200 ouvrent sur un caractère spécial (souvent « @ »), contre seulement 6 l’an précédent.

Ce qui distingue (ou ne distingue pas) les générations

Alors que l’on aurait pu s’attendre à des écarts plus marqués entre générations, le constat est que les mauvaises pratiques sont largement partagées.

• Les utilisateurs âgés ont tendance à intégrer des prénoms dans leurs mots de passe (par ex. « Maria », « Susana »).
• La génération Z, quant à elle, privilégie des séquences numériques simples (« 12345678 », « 1234567890 ») ou des mots comme « skibidi ».
• Ce qui indique que la maîtrise technologique ne se traduit pas forcément par une meilleure gestion des identifiants et des mots de passe.

Pourquoi une génération « hyper-connectée » fait-elle si mal ?

Plusieurs pistes peuvent expliquer ce paradoxe.

L’illusion de l’invulnérabilité

Les membres de la génération Z ont grandi dans un environnement numérique ubiquitaire : smartphones, réseaux sociaux, applications instantanées. Cette facilité d’accès peut donner lieu à une fausse confiance : on s’imagine « au-dessus » des menaces parce que l’on sait « cliqué et tapé » vite. Or, l’équipement numérique ne garantit pas la rigueur de la gestion des identifiants.

Le coût cognitif du « tout en ligne »

La génération Z gère probablement plus de comptes (réseaux sociaux, jeux, streaming, services mobiles) que n’importe quelle génération précédente. Comme l’étude de NordPass de 2020 le soulignait pour le Royaume-Uni et les États-Unis, « avoir trop de comptes est l’un des principaux facteurs de mauvaise hygiène des mots de passe ». Dans ce contexte, opter pour une solution rapide (« juste un mot de passe facile ») devient tentant.

La priorité à l’expérience utilisateur plutôt qu’à la sécurité

De nombreux services en ligne privilégient aujourd’hui l’inscription rapide, minimisent les contraintes (ex. : mot de passe court, peu de caractères spéciaux). L’information technique montre que même les grands sites Web restent laxistes : une étude montre que 58 % des sites n’imposent pas de caractère spécial et que 42 % ne fixent pas de longueur minimale. Si la plateforme accepte « 12345 », l’utilisateur est conditionné à penser que c’est « suffisant ».

L’effet « culture pop » et la banalisation des séquences faibles

Lorsque “12345” ou “admin” restent dans les listes les plus utilisées, cela montre que l’habitude l’emporte sur la réflexion. Le fait que ces chiffres soient répétés depuis des années (et figurent toujours au sommet) permet aux attaquants d’utiliser des listes prédéfinies (« dictionnaires de mots de passe ») avec succès.

Les implications pour les professionnels de l’IT et les entreprises

Risque accrue de compromission

Pour une entreprise ou un prestataire IT, voir qu’une grande partie des utilisateurs — et cela inclut les “digital natives” — utilise des mots de passe ultra-simples signifie que le maillon humain reste le plus faible de la chaîne. Ces mots de passe peuvent être brisés quasi instantanément via des attaques de type “credential stuffing” : injection de listes de mots de passe connus dans des API d’authentification.

Une remise en cause de la segmentation générationnelle

Les responsables de la sécurité doivent arrêter de penser “les vieux ne savent pas, les jeunes sont bons”. Cette étude montre que tous les âges présentent des vulnérabilités similaires. Il est donc indispensable d’inclure toutes les tranches d’âge dans les campagnes de sensibilisation et non d’exempter la génération Z au prétexte qu’elle serait experte.

Repenser les politiques de mot de passe et les contrôles d’accès

Les politiques internes doivent aller au-delà du simple “mot de passe” : contraintes de longueur, caractères variés, gestion de la réutilisation, et surtout, sensibilisation régulière. Il faut également promouvoir l’usage de gestionnaires de mots de passe (password managers) et l’authentification multi-facteur (MFA).

Vers l’authentification sans mot de passe ?

Bien que les mots de passe restent la norme, les études indiquent une évolution lente vers les méthodes alternatives (passkeys, biométrie). Si l’on se base sur un autre article, la technologie est en train de se déployer, mais de nombreux sites restent faibles sur ce plan. Les organisations doivent donc envisager un plan de transition vers l’authentification plus sûre, tout en renforçant l’état actuel des mots de passe.

Conseils pratiques pour améliorer la sécurité dès maintenant

Pour les professionnels IT, les responsables sécurité, mais aussi tous les utilisateurs (y compris la génération Z), ces recommandations peuvent être appliquées :

• Utiliser un gestionnaire de mots de passe pour générer et stocker des mots de passe uniques, complexes, pour chaque compte.
• Activer l’authentification à deux facteurs (ou multifacteur) systématiquement sur les comptes critiques.
• Ne plus réutiliser un mot de passe entre différents services. Un seul compte compromis devient une entrée vers d’autres.
• Éviter les séquences simples et les mots “communs” (ex. : 12345, admin, password, nom+123). Vérifier que le mot de passe ne figure pas dans les listes publiques d’usage courant.
• Sensibiliser toutes les tranches d’âge dans l’entreprise : jeunes comme seniors doivent être formés et accompagnés.
• Mettre en place des politiques IT exigeantes : longueur minimale, caractère spécial, interdiction des mots trop usuels, revue régulière des comptes inactifs ou compromis.
• Envisager l’avenir : adoption des passkeys (authentification sans mot de passe) tout en gardant un œil sur la transition et les compatibilités.

Conclusion : un appel à la vigilance pour tous

Il est aujourd’hui clair que le fait d’avoir grandi dans un monde numérique n’est pas synonyme de bonne hygiène de mot de passe. La génération Z, en dépit de sa familiarité avec les outils, se révèle moins attentive que ce que l’on pourrait attendre à la gestion de ses identifiants. Cette situation oblige les responsables IT et sécurité à revoir leurs approches : la fracture générationnelle « jeune = expert » est un mythe dans ce domaine.

Pour que les organisations, les professionnels et les individus puissent faire face à la menace croissante des cyberattaques, il est indispensable de changer de paradigme : plutôt que de compter uniquement sur les campagnes de sensibilisation classiques, il faut combiner formation, outils (gestionnaires, MFA), politique stricte et anticipation du futur sans mot de passe.

En résumé : peu importe que l’on soit 18 ou 80 ans — si l’on choisit “12345” ou “password” comme mot de passe, on reste vulnérable. Le travail reste donc constant, pour tous.

Source : NordPass

Et vous ?

Comment choisissez-vous votre mot de passe ? Quels conseils donneriez-vous pour améliorer la sécurité en ligne ?

Comment expliquer que la génération la plus connectée soit paradoxalement celle qui utilise les mots de passe les plus faibles ?

La familiarité technologique peut-elle créer un excès de confiance qui nuit à la sécurité numérique ?

La culture de l’instantanéité – applications rapides, inscriptions en un clic – a-t-elle affaibli la discipline numérique des jeunes utilisateurs ?