🔍 Contexte

Publié le 7 mai 2026 sur le blog officiel de Kaspersky, cet article présente une mise à jour de l’étude conduite en 2024 sur la robustesse des mots de passe réels. L’analyse porte sur 231 millions de mots de passe uniques extraits de fuites dark web entre 2023 et 2026, obtenus via le service Digital Footprint Intelligence de Kaspersky.

📊 Résultats clés

Les tests ont été conduits avec un GPU RTX 5090 sur des hachages MD5. Les résultats comparatifs 2024 vs 2026 sont les suivants :

  • 48% des mots de passe crackés en moins d’une minute (contre 45% en 2024)
  • 60% crackés en moins d’une heure (contre 59% en 2024)
  • 68% crackés en moins de 24 heures
  • 77% crackés en moins d’un an
  • Seulement 23% résistent plus d’un an

Le RTX 5090 atteint 220 gigahashes/seconde sur MD5, soit une hausse de 34% par rapport au RTX 4090 (164 Gh/s en 2024).

🔑 Patterns identifiés dans les mots de passe

  • 53% des mots de passe se terminent par un ou plusieurs chiffres
  • 17% commencent par un chiffre
  • 12% contiennent des séquences ressemblant à des années (1950–2030)
  • 10% contiennent des années entre 1990 et 2026
  • 3% contiennent des séquences de touches consécutives (ex: “qwerty”)
  • Le symbole @ est le caractère spécial le plus fréquent (1 mot de passe sur 10)
  • Le mot “Skibidi” a vu son usage multiplié par 36 entre 2023 et 2026
  • 54% des mots de passe identifiés dans des fuites récentes avaient déjà été exposés précédemment
  • Durée de vie moyenne estimée d’un mot de passe : 3 à 5 ans

⚙️ Méthodes de cracking décrites

  • Brute force (énumération exhaustive)
  • Rainbow tables (correspondance de hachages précalculés)
  • Smart cracking (algorithmes entraînés sur des bases de mots de passe fuités, intégrant substitutions et structures communes)
  • Interception en clair via phishing, keyloggers, stealers/trojans

📰 Nature de l’article

Il s’agit d’une publication de recherche à visée grand public, publiée par Kaspersky. Le but principal est de présenter des données statistiques actualisées sur la faiblesse des mots de passe réels et de promouvoir les solutions Kaspersky (Password Manager, Premium).

🧠 TTPs et IOCs détectés

TTP

  • T1110.002 — Brute Force: Password Cracking (Credential Access)
  • T1566 — Phishing (Initial Access)
  • T1056.001 — Input Capture: Keylogging (Collection)
  • T1555.003 — Credentials from Password Stores: Credentials from Web Browsers (Credential Access)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)

🟡 Indice de vérification factuelle : 40/100 (moyenne)

  • ⬜ kaspersky.com — source non référencée (0pts)
  • ✅ 18346 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 5 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.kaspersky.com/blog/passwords-hacking-research-2026/55743/