Réutilisation de mots de passe
Pratique consistant à utiliser le même mot de passe — ou des variantes quasi identiques — sur plusieurs services, transformant une fuite isolée en compromission multi-comptes par credential stuffing.
La réutilisation de mots de passe consiste à employer le même mot de passe — ou une variante trivialement modifiée (Ete2024! → Ete2025!) — sur plusieurs services. C’est, sur le plan comportemental, l’habitude la plus dommageable qu’un collectif transporte de sa vie personnelle vers les systèmes d’entreprise : toute fuite chez un tiers devient une clé qui ouvre d’autres serrures.
Have I Been Pwned, le service d’agrégation de fuites opéré par Troy Hunt, recense plus de 13 milliards d’identifiants exposés issus de milliers de fuites publiques en 2025. Le jeu de données Pwned Passwords — le corpus que les API d’évaluation de force de mot de passe interrogent — dépasse 850 millions de hashes uniques. Des études académiques indépendantes (Pearman et al., Carnegie Mellon, 2017 ; Wash et al., 2016) et des enquêtes sectorielles ultérieures convergent : 50 à 70 % des utilisateurs réutilisent leurs mots de passe entre vie personnelle et vie professionnelle. Le Verizon DBIR rapporte depuis des années que l’usage d’identifiants volés figure parmi les deux premiers vecteurs d’intrusion.
Pourquoi la réutilisation est le cadeau qui ne cesse de donner aux attaquants :
- Les corpus de fuites sont publics. Listes LinkedIn 2012, Yahoo 2013-2014, Collection #1 (2019), la « Mother of All Breaches » de 2024 (26 milliards d’enregistrements compilés) — tous se monnaient et s’interrogent librement.
- La réutilisation est difficile à détecter soi-même. Les utilisateurs sous-estiment systématiquement leur propre taux de réutilisation ; les gestionnaires de mots de passe livrent le vrai chiffre lors d’un audit.
- Varier ne protège pas. Les attaquants appliquent des règles de mutation (ajouter l’année, incrémenter un chiffre, mettre en majuscule) sur les listes de fuites, donc
Acme2024!tombe sur le même dictionnaire queAcme2025!. - Cela ruine la connexion par mot de passe seul. Les seuls correctifs structurels sont de sortir le mot de passe du chemin critique — SSO, MFA, et au final FIDO2 / passkeys — ou d’associer une politique forte à une vérification temps réel contre les corpus de fuites.
La réutilisation est la condition préalable qui rend le credential stuffing économiquement rationnel à grande échelle. L’éliminer à l’intérieur de l’organisation n’élimine pas le risque — les collaborateurs continuent de réutiliser des identifiants sur des comptes personnels partageant un mot de passe avec le pro — d’où l’importance d’instrumenter la couche de connexion en plus de la politique.
Termes liés
- Credential stuffingAttaque automatisée qui rejoue des paires identifiant/mot de passe issues de fuites tierces contre des services sans rapport, exploitant la réutilisation pour prendre le contrôle de comptes à grande échelle.
- Authentification multi-facteur (MFA)Schéma d'authentification exigeant au moins deux facteurs indépendants — ce que l'on sait, possède ou est — pour vérifier un utilisateur et renchérir le vol d'identifiants.
- Single Sign-On (SSO)Architecture d'authentification où un fournisseur d'identité unique émet les jetons donnant accès à de multiples applications, réduisant la surface d'identifiants mais concentrant le rayon d'impact.
- FIDO2 / PasskeysStandards d'authentification ouverts s'appuyant sur la cryptographie asymétrique liée au terminal pour offrir une connexion résistante au phishing — la réponse pratique à la fatigue MFA et au phishing adversary-in-the-middle.
- Hameçonnage (phishing)Attaque d'ingénierie sociale qui usurpe l'identité d'un tiers de confiance pour obtenir des identifiants, de l'argent ou un accès — par e-mail, SMS, voix, QR code ou consentement OAuth.