la génération Z est officiellement moins douée pour les mots de passe que les personnes âgées de 80 ans, selon une étude
Limage est tenace : les jeunes nés avec un smartphone en main seraient naturellement plus compétents, mieux informés et plus attentifs aux pratiques élémentaires de cybersécurité. Pourtant, les données publiées récemment montrent exactement linverse. Selon lanalyse de NordPass, les membres de la génération Z seraient aujourdhui objectivement moins bons dans la gestion de leurs mots de passe que des utilisateurs de plus de 80 ans. Ce constat, presque provocateur, ouvre une réflexion profonde sur la réalité des usages numériques et lillusion trompeuse qui entoure le concept de « digital native ».
La génération Z peut descendre de ses grands chevaux numériques, car ses mots de passe ne sont pas plus sûrs que ceux de ses grands-parents. Selon NordPass, il n'y a pas de réelle différence entre la sécurité des mots de passe utilisés par la jeune génération et celle de leurs ancêtres supposés analphabètes en matière de technologie. En fait, l'analyse des mots de passe réalisée cette année par la société de sécurité montre que le choix le plus courant parmi les personnes nées en 1997 et après était plus faible que celui de presque toutes les autres générations... d'un chiffre.
« 12345 » était le choix numéro un des Zoomers cette année, tandis que les Millennials, la génération X et les Boomers préféraient le « 123456 », nettement supérieur. Voilà pour le titre de « natifs du numérique » souvent attribué à la plus jeune génération.
Les variantes de « 123456 » figuraient parmi les plus courantes pour tous les groupes d'âge, cette chaîne exacte s'avérant être la plus courante parmi tous les utilisateurs c'est la sixième fois en sept ans qu'elle détient cette couronne peu enviable.
Les plus audacieux s'aventuraient jusqu'à « 1234567 », tandis que les cryptologues en herbe renforçaient la sécurité de leurs comptes en ajoutant un 8 ou même un 9 à la combinaison.
Cependant, selon le vérificateur de sécurité des mots de passe de Security.org, un ordinateur pourrait les pirater instantanément.
La plupart des pirates n'auraient même pas besoin de dépenser les ressources nécessaires pour révéler le mot de passe, étant donné leur utilisation courante. Il leur suffirait de tester une liste de mots de passe connus sur une API d'authentification pour obtenir rapidement gain de cause.
On découvre que la génération Z privilégie des mots de passe encore plus simples que ceux utilisés par les plus âgés. Les octogénaires utilisent souvent des prénoms ou des expressions personnalisées, certes prévisibles, mais un minimum contextualisées. À linverse, les jeunes optent massivement pour des suites numériques élémentaires comme « 12345 » ou « 12345678 », voire pour des termes issus de leur culture pop instantanée, comme « skibidi ». Autrement dit, des termes qui sinsèrent parfaitement dans les dictionnaires des cybercriminels.
Ce décalage révèle que la familiarité avec les outils numériques na jamais garanti une meilleure discipline. La génération Z, qui passe pourtant une partie de sa vie sur des plateformes en ligne, adopte des comportements étonnamment négligents dès quil sagit de sécuriser ses accès.
NordPass a déclaré : « Malgré les efforts considérables déployés au fil des ans pour sensibiliser les utilisateurs à la cybersécurité par le biais de campagnes de sensibilisation, nos données montrent que les habitudes en matière d'hygiène et de sécurité des mots de passe ne se sont guère améliorées.
Méthodologie et contexte
Les chiffres analysés par NordPass, en collaboration avec NordStellar, proviennent densembles massifs de mots de passe compromis, récupérés dans des brèches de données entre 2024 et 2025. Ces données ont été agrégées et segmentées par génération : la génération Z (1997-2007), les Millennials (1981-1996), la génération X (1965-1980), les Baby-Boomers (1946-1964) et la « Silent Generation » (née avant 1946).
Principaux résultats
Létude met en lumière plusieurs constats clés :
- Le mot de passe « 12345 » figure comme choix principal chez la génération Z, alors que « 123456 » occupe la première place chez les Millennials, génération X et Baby-Boomers.
- La séquence « 123456 » reste globalement le mot de passe le plus courant parmi tous les utilisateurs, toutes générations confondues, pour la sixième année consécutive.
- Malgré les campagnes de sensibilisation, lhygiène des mots de passe névolue que très peu : « des efforts significatifs ont été faits, mais nos données montrent peu damélioration dans les habitudes de sécurité des mots de passe », selon NordPass.
- On observe cependant une légère amélioration : cette année, 32 mots de passe dans le top 200 ouvrent sur un caractère spécial (souvent « @ »), contre seulement 6 lan précédent.
Ce qui distingue (ou ne distingue pas) les générations
Alors que lon aurait pu sattendre à des écarts plus marqués entre générations, le constat est que les mauvaises pratiques sont largement partagées.
- Les utilisateurs âgés ont tendance à intégrer des prénoms dans leurs mots de passe (par ex. « Maria », « Susana »).
- La génération Z, quant à elle, privilégie des séquences numériques simples (« 12345678 », « 1234567890 ») ou des mots comme « skibidi ».
- Ce qui indique que la maîtrise technologique ne se traduit pas forcément par une meilleure gestion des identifiants et des mots de passe.
Pourquoi une génération « hyper-connectée » fait-elle si mal ?
Plusieurs pistes peuvent expliquer ce paradoxe.
Lillusion de linvulnérabilité
Les membres de la génération Z ont grandi dans un environnement numérique ubiquitaire : smartphones, réseaux sociaux, applications instantanées. Cette facilité daccès peut donner lieu à une fausse confiance : on simagine « au-dessus » des menaces parce que lon sait « cliqué et tapé » vite. Or, léquipement numérique ne garantit pas la rigueur de la gestion des identifiants.
Le coût cognitif du « tout en ligne »
La génération Z gère probablement plus de comptes (réseaux sociaux, jeux, streaming, services mobiles) que nimporte quelle génération précédente. Comme létude de NordPass de 2020 le soulignait pour le Royaume-Uni et les États-Unis, « avoir trop de comptes est lun des principaux facteurs de mauvaise hygiène des mots de passe ». Dans ce contexte, opter pour une solution rapide (« juste un mot de passe facile ») devient tentant.
La priorité à lexpérience utilisateur plutôt quà la sécurité
De nombreux services en ligne privilégient aujourdhui linscription rapide, minimisent les contraintes (ex. : mot de passe court, peu de caractères spéciaux). Linformation technique montre que même les grands sites Web restent laxistes : une étude montre que 58 % des sites nimposent pas de caractère spécial et que 42 % ne fixent pas de longueur minimale. Si la plateforme accepte « 12345 », lutilisateur est conditionné à penser que cest « suffisant ».
Leffet « culture pop » et la banalisation des séquences faibles
Lorsque 12345 ou admin restent dans les listes les plus utilisées, cela montre que lhabitude lemporte sur la réflexion. Le fait que ces chiffres soient répétés depuis des années (et figurent toujours au sommet) permet aux attaquants dutiliser des listes prédéfinies (« dictionnaires de mots de passe ») avec succès.
Les implications pour les professionnels de lIT et les entreprises
Risque accrue de compromission
Pour une entreprise ou un prestataire IT, voir quune grande partie des utilisateurs et cela inclut les digital natives utilise des mots de passe ultra-simples signifie que le maillon humain reste le plus faible de la chaîne. Ces mots de passe peuvent être brisés quasi instantanément via des attaques de type credential stuffing : injection de listes de mots de passe connus dans des API dauthentification.
Une remise en cause de la segmentation générationnelle
Les responsables de la sécurité doivent arrêter de penser les vieux ne savent pas, les jeunes sont bons. Cette étude montre que tous les âges présentent des vulnérabilités similaires. Il est donc indispensable dinclure toutes les tranches dâge dans les campagnes de sensibilisation et non dexempter la génération Z au prétexte quelle serait experte.
Repenser les politiques de mot de passe et les contrôles daccès
Les politiques internes doivent aller au-delà du simple mot de passe : contraintes de longueur, caractères variés, gestion de la réutilisation, et surtout, sensibilisation régulière. Il faut également promouvoir lusage de gestionnaires de mots de passe (password managers) et lauthentification multi-facteur (MFA).
Vers lauthentification sans mot de passe ?
Bien que les mots de passe restent la norme, les études indiquent une évolution lente vers les méthodes alternatives (passkeys, biométrie). Si lon se base sur un autre article, la technologie est en train de se déployer, mais de nombreux sites restent faibles sur ce plan. Les organisations doivent donc envisager un plan de transition vers lauthentification plus sûre, tout en renforçant létat actuel des mots de passe.
Conseils pratiques pour améliorer la sécurité dès maintenant
Pour les professionnels IT, les responsables sécurité, mais aussi tous les utilisateurs (y compris la génération Z), ces recommandations peuvent être appliquées :
- Utiliser un gestionnaire de mots de passe pour générer et stocker des mots de passe uniques, complexes, pour chaque compte.
- Activer lauthentification à deux facteurs (ou multifacteur) systématiquement sur les comptes critiques.
- Ne plus réutiliser un mot de passe entre différents services. Un seul compte compromis devient une entrée vers dautres.
- Éviter les séquences simples et les mots communs (ex. : 12345, admin, password, nom+123). Vérifier que le mot de passe ne figure pas dans les listes publiques dusage courant.
- Sensibiliser toutes les tranches dâge dans lentreprise : jeunes comme seniors doivent être formés et accompagnés.
- Mettre en place des politiques IT exigeantes : longueur minimale, caractère spécial, interdiction des mots trop usuels, revue régulière des comptes inactifs ou compromis.
- Envisager lavenir : adoption des passkeys (authentification sans mot de passe) tout en gardant un il sur la transition et les compatibilités.
Conclusion : un appel à la vigilance pour tous
Il est aujourdhui clair que le fait davoir grandi dans un monde numérique nest pas synonyme de bonne hygiène de mot de passe. La génération Z, en dépit de sa familiarité avec les outils, se révèle moins attentive que ce que lon pourrait attendre à la gestion de ses identifiants. Cette situation oblige les responsables IT et sécurité à revoir leurs approches : la fracture générationnelle « jeune = expert » est un mythe dans ce domaine.
Pour que les organisations, les professionnels et les individus puissent faire face à la menace croissante des cyberattaques, il est indispensable de changer de paradigme : plutôt que de compter uniquement sur les campagnes de sensibilisation classiques, il faut combiner formation, outils (gestionnaires, MFA), politique stricte et anticipation du futur sans mot de passe.
En résumé : peu importe que lon soit 18 ou 80 ans si lon choisit 12345 ou password comme mot de passe, on reste vulnérable. Le travail reste donc constant, pour tous.
Source : NordPass
Et vous ?
Comment choisissez-vous votre mot de passe ? Quels conseils donneriez-vous pour améliorer la sécurité en ligne ?
Comment expliquer que la génération la plus connectée soit paradoxalement celle qui utilise les mots de passe les plus faibles ?
La familiarité technologique peut-elle créer un excès de confiance qui nuit à la sécurité numérique ?
La culture de linstantanéité applications rapides, inscriptions en un clic a-t-elle affaibli la discipline numérique des jeunes utilisateurs ?
