Comme chaque fin d’année, les sites spécialisés nous publient leur « TOP des pires mots de passes de l’année ». Je sais, on est fin novembre, on a consommé que 90% de 2020, rien n’est encore joué. Mais s’ils tardent à publier, c’est un concurrent qui le fera et ça n’est pas acceptable. En plus, c’est le cyber month donc tout est permis.

Un exemple ? Voici les 5 premiers du top 200 publié par nordpass.com (après analyse de 275 million de mots de passes).

On y retrouve l’indétrônable 123456 (deux premières lignes du clavier numérique) et son frère 123456789 (une ligne de plus pour 1/3 de sécurité en plus), l’humoristique password (l’interface me dit « enter your password », j’obéi) et le petit nouveau picture1 (pour lequel je n’ai pas d’explication).

Je pourrais ainsi continuer à commenter la liste (oui, je sais, c’est un tableau)… Parmi les stars, iloveyou historiquement dans le Top 1 au début d’Internet poursuit sa déchéance puisqu’il est tombé en 17^ème position ainsi que son pote letmein qui tombe à la 171^ème place. qwertyuiop, première ligne du clavier chez nos nombreux voisins est 25^ème, largement devant azerty 162^ème ; azertyuiop n’étant même pas classé.

Vous avez saisi l’idée… On pourrait occuper son petit monde un moment en commentaires de ce genre sans jamais vraiment rien vous dire d’utile ou véritablement intéressant (sauf quand c’est moi qui le dit, car je suis toujours intéressant).

Alors, derrière ces commentaires à l’utilité discutable, qu’est-ce que la publication de ces listes dit vraiment ?

Honte, Schadenfreude et viralité

Au premier niveau de lecture, ces listes jettent la honte sur ceux qui utilisent encore ces mots de passes.

« Il semble que beaucoup d’entre nous soient encore réticents à utiliser des mots de passe forts et difficiles à cracker. A la place, nous choisissons des options comme football, iloveyou, letmein et pokemon. »

ZDNET.com dans son article du 21 novembre 2020.

Ces classements sont régulièrement et largement publiés et pourtant, ils ne semblent pas changer (on verra plus loin pourquoi). On peut donc raisonnablement se demander pourquoi tous ces gens ne changent pas leurs habitudes, ça n’est pourtant pas si compliqué…

Sont-ils bêtes à ce point ? Non bien sûr (on verra plus loin pourquoi aussi).

En fait, le sentiment qui domine et justifie la publication et le partage de ces listes, serait plutôt la Schadenfreude…

La schadenfreude : joie malsaine qu’on éprouve en observant le malheur d’autrui.

Wikipedia.

En voyant ces listes, on éprouve en fait un petit bonheur intime en constatant que nos mots de passes n’y figurent pas. Contrairement à de si nombreuses personnes (150 million d’après les chiffres) qui, eux, y sont.

« Mouhahahaha »

Et c’est pour ça que ces publications peuvent se partager. La schadenfreude est une émotion positive et ce genre d’émotion, ça génère de l’engagement. Du coup, ça se partage volontiers. Comme les autres cyber faits-divers en fait.

Placement de produit

En grattant un peu (mais vraiment pas beaucoup), on se rend compte aussi que ces publications sont des chevaux de Troie, prétextes à vous servir de la pub. Qui pour son produit, qui pour ses services, qui pour son expertise et qui pour son personnal branding…

Sauf chez les arsouyes, on est pas de ce genre 🙄.

Pour vous montrer à quel point c’est du marketing, revenons à la source : la page de nordpass de 2020 (car ça c’est un peu amélioré depuis). Elle montre un tableau, mais vous pouvez chercher à copier ces données pour les analyser, vous allez galérer :

• La page ne contient pas un vrai tableau, mais un bidouillage HTML (des div) qui, magie du CSS, seront affichés comme si c’était un tableau. Si vous copiez ce contenu et le collez dans un éditeur de texte ou un tableur, ça donne une seule colonne toute pourrie.
• Pour corser encore le truc, les « lignes » n’ont pas toute le même nombre de « colonnes », du coup, même en utilisant un script (ou une formule), on ne peut pas les répartir tout bien et on doit faire le boulot à la main.

Tout est fait pour éviter la republication des données et pousser à partager la page d’origine ou une capture d’écran.

Pour ceux qui seraient intéressés, on a récupéré les données, tout rangé comme il faut dans un CSV et on vous le proposes : top200_nordpass.csv (sans même vous demander d’inscription à une mailing liste…).

D’où le deuxième piège : juste en dessous du tableau, on voit un gros bouton super visible marqué « Free Download », on se dit que, finalement, c’est sympa de nous fournir la base de donnée et on clique. Sauf que lorsqu’il nous demande où mettre le fichier, on se rend compte qu’il s’agit d’un exécutable .exe.

Plutôt que les données que vous vouliez, l’encart vous propose donc de télécharger leur outil sensé éviter que vos mots de passes apparaissent dans leur liste… Classique chez les white hats : après vous avoir fait peur, ils vous vendent un produit qui résout vos problèmes par magie.

C’est d’autant plus grossier que leur outil ne l’évitera pas car il ne sécurise pas les mots de passes là où ils sont volés, sur les serveurs des applications.

C’est même le contraire puisqu’en fournissant vos mots de passes à un tiers, vous les exposez à un vol chez ce tiers qui peut faire l’objet d’un piratage (e.g. chez lastpass),

Pour éviter que ces mots de passes finissent dans leur liste, il faut qu’ils aient été stockés de manière sûre par les développeurs.

Quid des développeurs ?

Si c’est pas une super transition ça !?

Maintenant qu’on a fini de se moquer des victimes et des messagers, on peut tourner notre regard vers les responsables : les développeurs.

Après tout, comment ces mots de passes, sensés être super protégés par les applications qui les stockent, peuvent-ils se retrouver en clair sur internet ? Ils nous avaient pourtant promis, dans leur politique de confidentialité, qu’ils y feraient attention comme a la prunelle de leurs yeux.

Qu’une base de donnée fuite, ça fait partie des choses qui arrivent. C’est moche, les administrateurs système et réseaux auraient peut être pu y faire quelque chose (quoi que si la fuite vient d’un insider ou d’un bogue ils n’y peuvent pas grand chose).

Lorsqu’on stocke les mots de passes des utilisateurs, on part donc du principe qu’ils finiront sur le net, ça évite les mauvaises surprises. Ça s’appelle faire de la défense en profondeur et on a même écrit un article sur ce sujet (le stockage des mots de passes des utilisateurs) :

• On hache les mots de passes pour éviter qu’ils ne soient lisibles,
• On leur ajoute un sel pour éviter les attaques par dictionnaire,
• On utilisa des fonctions spécifique pour ralentir le brute force.

C’est simplissime à mettre en place puisque les langages webs proposent des fonctions faites pour ça (i.e. password_hash() et password_verify() en PHP).

Mais si c’est si facile à sécuriser, on peut se mettre à douter de ces listes…

Quid des données ?

Poussons donc un peu plus loin et regardons avec un peu plus d’attention ce que contiennent vraiment ces listes…

Divulgâchage : on se rendra compte que c’est bidon…

Pas de source. Les auteurs nous disent avoir analysé 275 million de mots de passes, issus de fuites en 2019 et 2020 mais ne fournissent aucune référence vers ces fameuses fuites ni vers leurs contenus. Ils ne publient d’ailleurs pas tous les mots de passes trouvés mais seulement un extrait des 200 plus fréquents.

Peut être un point de détail, mais mon côté expert judiciaire s’irrite lorsque les analyses ne sont pas transparentes… Cacher des trucs dans les manches, c’est généralement pas bon signe.

Ce top représente 4% des mots de passes analysés. Autant dire une goute d’eau dans l’océan des possibles. D’ailleurs, ils ne disent pas qu’ils les ont tous trouvés mais analysés…

Plutôt que se dire que beaucoup de gens utilisent encore des mots de passes faibles, on peut aussi se dire que 96% des mots de passes sont restés inviolés et donc que dans l’ensemble, les gens s’en sortent très bien.

Plein de vieux mots de passes. Autant c’est normal que de vieux prénoms remontent régulièrement dans les statistiques (la mode est un éternel recommencement) mais pour des mots de passes… iloveyou, letmein ou encore myspace1 (80^ème avec 26363 occurrences). Il y a de quoi s’interroger sur la provenance des bases de données en question…

Si l’analyse porte sur des bases d’utilisateurs de 1990 qui ont fuité avant 2020, est-ce que ça dit vraiment quelque chose des mots de passes créés en 2020 ?

Que des mots de passes simples. Ce qui me frappe dans cette liste, c’est qu’aucun mot de passe n’est vraiment compliqué. Mis à part un ovni qui contient des lettres et chiffres aléatoires (et dont on parlera plus tard), tous sont d’une simplicité déconcertante.

Je m’attendrais à voir plus de constructions simples mais impliquant des caractères exotiques, comme qwerty123&1, qui passent les contraintes de complexité imposées par les sites tout en restant simples à retenir. Mais non, pas un seul petit morceau de dièse ou d’exclamation.

La réponse pourrait venir de la colonne « difficulté » qui donne le temps pour casser le mot de passe et montre que l’analyse ait été faite par un dictionnaire de mots de passes à priori.

Si l’analyse ne porte que sur les mots de passes déjà vu l’an passé, voilà peut être pourquoi les classements ne change pas d’une année à l’autre.

Des bots ? Si on regarde les chiffres, on trouve d’autres choses étranges…

• 20100728, 37^ème. Il s’est sûrement passé plein de choses intéressantes (c’était un mercredi) mais pourquoi 45000 comptes utiliseraient cette date alors qu’aucune autre date n’apparaît dans la liste ?
• x4ivygA51F (l’ovni dont on a parlé). Il se retrouve en 148^ème position avec 18267 occurrences. Qu’il soit le seul de cette complexité interroge, c’est statistiquement intéressant.

Si on écarte les explications évidentes (les extra-terrestres qui installent la 5G pour que Bill Gates nous vaccine contre les reptiliens qui veulent nous exterminer avec la COVID19, ou l’inverse, j’ai un doute), je penche plus sur des comptes de robots créés par leur maître.

Si la base contient plein de robots, est-ce que les mots de passes sont représentatifs des humains (et des reptiliens) ?

Des comptes vides. À force de nous demander de créer un compte pour tout et n’importe quoi, juste pour le plaisir de grossir les bases de données clients (alors qu’on sait très bien qu’on ne reviendra jamais sur ces sites), on y met n’importe quoi. Des adresses de courriel jetable et, bien sûr, des mots de passes bidons…

C’est dommage car non seulement on se retrouve avec une base de « prospects » complètement fausse mais la création d’un compte est en fait un frein à la conversion. La preuve ? la suppression de cette étape a rapporté 300 millions d’euros.

Lorsqu’on utilise un mot de passe aussi faible que 123456 (et toutes ses variantes jusqu’au simplissime 0, 15^ème place, vu 123000 fois), on sait qu’on ne fait ni preuve d’originalité, ni de prudence. On le fait en connaissance de cause parce que le compte qu’on configure ne nous intéresse pas.

Les utilisateurs de ces mots de passes ne sont plus si inconscients en fin de compte…

Et maintenant ?

Scientifiquement, on aurait donc du titrer « Le classement des pires mots de passes habituellement utilisé pour des faux comptes et des robots depuis 1980 et ne contenant que des lettres et des chiffres représentant 4% du total ». Je sais, c’est long comme titre.

Pour simplifier, on oublie tout ces petits détails méthodologiques inutiles et insignifiants pour ne retenir que l’essentiel, « le classement des pires mots de passes de 2020 » (parce qu’on publie en 2020 après tout).

Ceux qui n’utilisent pas ces mots de passes seront rassurés et leur Schadenfreude les poussera à partager, se faisant un petit peu de publicité au passage. Avec de la chance, les autres pourraient acheter le produit magique.

Au final, comme toujours lorsque l’information vient d’une entreprise pour servir son propos ça n’est pas de l’information, c’est de la communication. Ça marche tout pareil pour les pesticides ou le changement climatique d’ailleurs.

Sauf chez les arsouyes (pas faute de vous le répéter).