Ne plus réutiliser les mots de passe : ce que révèle une récente enquête NordPass

Découvrez l’enquête sur la réutilisation des mots de passe menée par NordPass en 2025

Pour mesurer à quel point la réutilisation des mots de passe reste une habitude, NordPass a demandé à une équipe de recherche indépendante d’interroger 1 727 adultes (619 Américains, 605 Britanniques et 503 Allemands). Le questionnaire s’articule autour de trois axes :

• Fréquence de réutilisation des identifiants.

• Le nombre de mots de passe et de comptes concernés par l’habitude.

• Pourquoi cette habitude est toujours d’actualité en 2025.

États-Unis

• 62 % des Américains avouent réutiliser « souvent » ou « toujours » un même mot de passe.

• L’utilisateur moyen jongle avec 3 mots de passe principaux qui déverrouillent environ 5 comptes différents.

• La moitié d’entre eux déclarent le faire parce qu’il est « plus facile de se souvenir de moins de mots de passe », et un sur trois se sent dépassé par le nombre de services qu’il utilise chaque mois.

• Un pourcentage inquiétant de 11 % ne voit « aucun risque significatif » dans la répétition, ce qui prouve que c’est l’expérience, et non les avertissements, qui détermine le comportement.

Royaume-Uni

• 60 % recyclent les identifiants.

• L’angoisse de la mémoire éclipse la commodité : 40 % des personnes interrogées craignent de ne plus avoir accès aux services si chaque mot de passe est unique.

• La commodité et le « trop grand nombre de comptes » arrivent en deuxième position, et les mêmes 11 % négligent totalement la menace.

Allemagne

• 50 % réutilisent les mots de passe, ce qui est le « meilleur » score, mais qui reste une pratique dangereuse.

• La commodité est la principale motivation de 37 % des Allemands qui réutilisent les mêmes mots de passe, 29 % d’entre eux citant le nombre de comptes trop important.

• 13 % estiment que la réutilisation est pratiquement inoffensive.

Dans l’ensemble, les données indiquent une chose : environ 57 % des consommateurs des trois pays évolués continuent de parier sur la réutilisation des identifiants de connexion. Il s’agit d’une majorité suffisante pour assurer la rentabilité des attaques par bourrage d’identifiants pendant des années.

Pourquoi réutilise-t-on encore et toujours les mêmes mots de passe

Les personnes interrogées se répartissent en quatre camps qui se chevauchent lorsqu’il s’agit d’expliquer leurs habitudes de réutilisation des mots de passe :

• Les personnes qui mémorisent. Environ la moitié des Américains, 43 % des Britanniques et 37 % des Allemands qui ont participé à l’enquête déclarent réutiliser les mots de passe parce qu’il est « plus facile de se souvenir de moins de mots de passe ».

• Les débordés. Environ 30 % des personnes interrogées dans chaque pays invoquent le fait qu’elles ont « trop de comptes » pour gérer des mots de passe différents.

• Les anxieux. La crainte d’oublier des identifiants uniques atteint 40 % au Royaume-Uni, 38 % aux États-Unis et 31 % en Allemagne.

• Les sceptiques. Entre 11 et 13 % n’ont jamais eu à faire face aux conséquences d’une fuite de données et estiment que le risque est exagéré.

Améliorez votre sécurité en ligne

Stockez et gérez vos actifs numériques de valeur en toute sécurité

Commencer l’essai gratuit

Comment les cybercriminels profitent de la réutilisation des mots de passe

La réutilisation transforme une fuite en une réaction en chaîne. Si des pirates volent votre mot de passe sur un seul site, ils peuvent essayer le même identifiant sur tous les autres services que vous utilisez (messagerie, banque, applications professionnelles) jusqu’à ce que l’un d’entre eux s’ouvre. C’est pourquoi la réutilisation des mots de passe est grave. Et l’économie criminelle autour des identifiants volés est à l’échelle industrielle. Elle évolue rapidement. Une fois qu’une fuite de données a atteint les forums et les places de marché du dark web, les malfaiteurs disposent de nombreux moyens pour tirer profit des identifiants de connexion volés et réutilisés.

• Le bourrage d’identifiants de connexion Les attaquants équipés de grandes quantités d’identifiants de connexion réutilisés chargent des millions de paires utilisateur-mot de passe dans des botnets qui lancent des connexions automatisées. Même un taux de réussite de 1 % permet d’ouvrir des milliers de comptes.

• Prise de contrôle du compte. Un mot de passe réutilisé, généralement divulgué lors de fuites de données, qui ouvre votre boîte aux lettres électronique permet aux cyberescrocs de réinitialiser tout le reste : stockage sur le cloud, portefeuilles de cryptomonnaies, e-mails, etc. La première prise de contrôle devient un levier pour atteindre des cibles de plus grande valeur.

• L’ingénierie sociale. Lorsqu’ils contrôlent des comptes sociaux ou professionnels, les criminels étudient l’historique des messages et élaborent des demandes crédibles : « Pouvez-vous approuver cette facture ? » ou « Vous avez oublié de payer le fournisseur, utilisez ce compte ». Les victimes réagissent parce que la demande provient de ce qui semble être une identité de confiance.

Le rôle des entreprises dans la prévention de la réutilisation des mots de passe

Les entreprises se trouvent aux deux extrémités du problème de la réutilisation des mots de passe. Elles doivent protéger leur personnel contre les habitudes imprudentes et protéger les clients dont les identifiants de connexion sont peut-être déjà en vente sur le dark web. Les organisations peuvent s’attaquer au problème de plusieurs manières.

Rejeter les identifiants de connexion réutilisés

Lors de la procédure d’inscription ou de réinitialisation du mot de passe, le site doit comparer le mot de passe proposé à une base de données d’identifiants issus de fuites de données. Si la chaîne est apparue dans des fuites antérieures, ou semble identique à une chaîne déjà enregistrée, l’utilisateur se voit proposer de choisir quelque chose de plus fort. De même, l’intégration d’un générateur de mot de passe en un seul clic peut éliminer les réticences.

L’authentification à plusieurs niveaux

L’authentification multifacteur empêche la prise de contrôle automatisée, même en cas de fuite d’identifiants de connexion. De plus en plus de services évitent désormais les mots de passe en proposant des clés d’accès FIDO, des secrets cryptographiques liés à l’appareil qui ne peuvent pas être réutilisés ni piratés.

La formation à la sécurité

Les entreprises qui organisent fréquemment des ateliers pratiques sur la sécurité rencontrent beaucoup moins de cas de réutilisation des identifiants de connexion par les employés. La démonstration de la rapidité avec laquelle une seule connexion compromise peut se répercuter sur l’ensemble d’un réseau montre clairement que la réutilisation des mots de passe est une très mauvaise habitude.

L’adoption des gestionnaires de mots de passe

De nombreuses entreprises encouragent, voire exigent, l’utilisation de gestionnaires de mots de passe d’entreprise. Lorsque le personnel dispose d’un coffre-fort sécurisé pour ses identifiants, il est beaucoup moins susceptible de recycler ses mots de passe. La plupart des coffres-forts comprennent également des générateurs de mots de passe intégrés qui créent des chaînes de caractères aléatoires et fiables à la demande, ce qui permet d’éviter les conjectures quant à la création d’identifiants de connexion forts.

Comment faire pour arrêter de réutiliser des mots de passe

Pour rompre efficacement avec l’habitude de réutiliser les mots de passe, il suffit de mettre en place un flux de travail qui considère les identifiants de connexion forts et uniques comme la norme et non comme l’exception. Voici quelques conseils pour y parvenir.

Adoptez un gestionnaire de mots de passe

Des outils tels que NordPass génèrent, synchronisent et remplissent automatiquement les mots de passe sur tous les appareils. L’utilisateur se souvient d’un mot de passe maitre, le coffre-fort se souvient des autres. Un Générateur de mots de passe intégré produit des chaînes aléatoires à forte entropie d’un simple clic sur un bouton, éliminant ainsi la tentation de fêter la nouvelle année avec P@ssw0rd2026.

Pensez aux clés d’accès

Une clé d’accès associe la cryptographie à clé publique aux données biométriques de l’appareil, de sorte qu’il n’y a rien à saisir, rien à oublier et rien à réutiliser. De nombreuses plateformes majeures les prennent déjà en charge. Notre article Qu’est-ce qu’une clé d’accès ? vous explique comment en configurer une pour la première fois. Lorsque les clés d’accès ne sont pas disponibles, activez l’AMF pour ajouter une deuxième vérification que les attaquants ne peuvent pas deviner à partir d’une liste issue d’une fuite de données.

Contrôlez les comptes inactifs

Les vieux forums, les sites d’achat que vous n’avez utilisés une fois pour un cadeau original, l’application de suivi de la forme physique abandonnée : chacun de ces services constitue une vulnérabilité latente s’il partage des identifiants de connexion avec des services actifs. Fermez le compte, ou réinitialisez au moins le mot de passe pour qu’il soit unique. Consultez notre liste annuelle des mots de passe les plus courants pour vous inspirer de ce qu’il ne faut pas choisir.

Dernières réflexions

La réutilisation des mots de passe repose sur la commodité à court terme et l’optimisme à long terme. Notre enquête montre que 57 % des utilisateurs issus de trois économies numériques matures se fient encore à cet optimisme, même si les criminels industrialisent le vol d’identifiants de connexion. La solution est pourtant simple : des gestionnaires de mots de passe, une authentification à plusieurs niveaux et une évaluation réaliste des risques. Se défaire de cette habitude ne demande pas une vigilance parfaite, mais plutôt la volonté de troquer les piètres astuces de mémorisation contre des outils spécialement conçus.