Un mot de passe sur deux craqué en moins d’une minute

Un GPU, pour Graphics Processing Unit, est un processeur conçu à l’origine pour afficher les images dans les jeux vidéo. Il a pour particularité de traiter des dizaines de milliards de calculs simultanément. Cette architecture le rend redoutablement efficace pour tester des milliards de combinaisons de mots de passe à toute vitesse.

Kaspersky a utilisé un seul RTX 5090, la carte graphique grand public la plus puissante du marché en 2026. Elle génère 220 milliards de combinaisons par seconde, soit 34 % de plus que le RTX 4090 utilisé lors de la même étude deux ans plus tôt. Cette carte se loue dans le cloud pour quelques centimes à quelques euros de l’heure. Rien n’oblige un attaquant à en posséder une, et rien ne l’empêche d’en louer dix ou cent en parallèle.

Les chercheurs ont soumis 231 millions de mots de passe uniques récupérés sur des forums du dark web entre 2023 et 2026. Résultats : 48 % craqués en moins d’une minute, contre 45 % deux ans plus tôt. 60 % en moins d’une heure. 68 % en moins de 24 heures. Seulement 23 % résistent plus d’un an.

Les mots de passe ne sont presque jamais stockés en clair sur les serveurs. À la place, ils sont transformés par un algorithme en une empreinte numérique de longueur fixe, appelée hash. Lors d’une fuite, ce sont ces hashs que les attaquants récupèrent. Pour retrouver le mot de passe original, ils doivent les « inverser ».

Trois méthodes principales sont utilisées.

• La force brute : le logiciel teste toutes les combinaisons de caractères possibles, l’une après l’autre, en calculant le hash à chaque fois. Particulièrement efficace sur les mots de passe courts.
• Les rainbow tables : des dictionnaires préétablis de hashs déjà calculés. L’attaquant n’a pas besoin de recalculer, il cherche simplement la correspondance entre le hash volé et ceux déjà répertoriés.
• Le craquage intelligent : des algorithmes entraînés sur des millions de fuites passées, capables de comprendre les substitutions habituelles (le « a » remplacé par « @ », le « s » par « $ »), les structures récurrentes comme « mot du dictionnaire + chiffre + caractère spécial », et qui testent les combinaisons les plus probables en priorité.

Au-delà de la puissance de calcul, ce qui rend les mots de passe aussi vulnérables, c’est leur prévisibilité.

53 % se terminent par un ou plusieurs chiffres. 17 % commencent par un nombre. 12 % contiennent ce qui ressemble à une année, et 10 % correspondent précisément à la période 1990-2026, vraisemblablement l’année de naissance ou de création du compte. La répartition de ces dates suggère d’ailleurs que les utilisateurs les plus actifs sur internet sont nés entre 2000 et 2012. La combinaison la plus répandue reste « 1234« . Les séquences de clavier comme « qwerty » apparaissent dans 3 % des cas.

Du côté des caractères spéciaux, le @ arrive largement en tête, suivi du point et du point d’exclamation.

Quant aux mots utilisés, les termes à charge émotionnelle positive dominent : « love », « angel », « team », « mate », « life », « star ». Les grossièretés existent aussi, mais en minorité. Entre 2023 et 2026, le mot « Skibidi » a été multiplié par 36 dans les bases piratées, et « toilet » a suivi la même tendance. Les mèmes alimentent les mots de passe, et les algorithmes s’en nourrissent en temps réel.

54 % des mots de passe identifiés dans les récentes fuites avaient déjà été vus lors de fuites précédentes. La durée de vie moyenne d’un mot de passe tourne autour de trois à cinq ans. Plus il reste en circulation, plus la probabilité qu’il réapparaisse dans une fuite augmente. Et lorsqu’un même mot de passe est réutilisé sur plusieurs comptes, les attaquants n’ont même plus besoin de le craquer : il suffit de le trouver dans une seule fuite et de le tester ailleurs.

La longueur prime sur la complexité. P@ssword n’apporte quasiment rien de plus que Password face à une attaque par force brute. Une phrase de 20 caractères avec une orthographe volontairement inventée résiste des années, non pas parce qu’elle est sophistiquée, mais parce que l’espace des combinaisons possibles devient ingérable pour n’importe quel algorithme.

Les passkeys éliminent le problème à la source : aucun mot de passe n’est transmis au serveur, rien à intercepter, rien à craquer, et les tentatives de phishing sur des adresses falsifiées ne fonctionnent pas.

L’authentification à deux facteurs via une application dédiée, et non par SMS, ajoute une couche qu’aucun GPU ne peut contourner seul. Un gestionnaire de mots de passe génère et stocke des séquences uniques et longues par compte, la mémoire humaine n’ayant plus qu’un seul identifiant maître à retenir.

Deux erreurs sont particulièrement coûteuses et encore très répandues : stocker ses mots de passe en clair dans un fichier texte, un message ou un document, et les enregistrer dans son navigateur. Les malwares modernes extraient ces données des principaux navigateurs en quelques secondes.

Un compte compromis peut se traduire par des données personnelles exposées, des accès bancaires en danger, une interruption d’activité pour un professionnel, une perte de confidentialité sur des données clients. Les conséquences sont concrètes, souvent longues à résorber, et rarement anticipées.

Le risque cyber suit la même logique que les risques physiques : il est documenté, mesurable, et ses effets sont d’autant plus lourds qu’aucune protection n’avait été mise en place en amont. C’est exactement ce type d’exposition dont nous parlons avec nos clients.

Vous souhaitez faire le point sur votre situation numérique et les couvertures adaptées ? Prenons le temps d’en parler.

Source : Kaspersky, « Cracked in under a minute : (nearly) every other password », Alexey Antonov, 7 mai 2026. kaspersky.com