D’incident ponctuel, le vol d’identifiants est devenu une chaîne industrielle. Alimentée par des maliciels spécialisés, des bases agrégées et un marché de la revente désormais organisé, cette économie parallèle repose sur plus de six milliards de mots de passe collectés en douze mois. Le Breached Password Report 2026 de Specops montre comment cette industrialisation transforme durablement la surface d’attaque des entreprises.
Specops Software, filiale du groupe Outpost24, a analysé plus de six milliards de mots de passe collectés entre janvier et décembre 2025 par son équipe de Threat Intelligence. L’étude dépasse la simple photographie statistique. Elle documente une mécanique désormais stabilisée, où les identifiants volés circulent dans le temps long, sont consolidés dans des jeux de données exploitables immédiatement, puis réinjectés dans des campagnes successives, parfois plusieurs mois après la compromission initiale. Le mot de passe cesse d’être un point d’entrée isolé pour devenir une ressource durable de l’écosystème criminel.
Premier enseignement opérationnel : les règles classiques de complexité produisent un faux sentiment de protection. Sur l’ensemble des identifiants analysés, les mots de passe de huit caractères concentrent à eux seuls environ 1,1 milliard de compromissions, devant ceux de dix caractères (926 millions) et de neuf caractères (882 millions). Les cinq mots de passe les plus fréquemment retrouvés restent 123456, 123456789, 12345678, admin et password.
L’accès initial, une économie structurée
Plus révélateur encore pour les équipes IT, des mots de passe parfaitement conformes aux politiques standards apparaissent massivement dans les bases compromises. Des constructions telles que Password1, Aa@123456 ou Admin@123 respectent les exigences usuelles (majuscule, chiffre, caractère spécial), tout en restant immédiatement exploitables après vol. Darren James, Senior Product Manager chez Specops Software, résume la situation « ce n’est pas seulement un problème de volume, c’est la preuve que les contrôles statiques des mots de passe ne reflètent pas la manière dont les identifiants sont aujourd’hui volés, réutilisés et exploités ». Il précise que « la robustesse d’un mot de passe repose sur sa longueur, souvent obtenue via des phrases de passe, associée à une vérification continue des mots de passe compromis, et non sur la complexité seule ».
Le rapport désigne LummaC2 comme le maliciel de vol d’identifiants le plus actif de 2025, associé à plus de 60 millions de comptes compromis. Il devance RedLine (31 millions), Vidar (5,9 millions), StealC (3,4 millions) et Raccoon Stealer (1,6 million). Ces familles prospèrent moins par sophistication technique que par diffusion massive et facilité de déploiement. Borja Rodriguez, Head of Threat Intelligence chez Outpost24, l’explique que « le succès des infostealers repose sur l’échelle et la distribution, pas sur l’innovation ».
Une fois collectés, les identifiants sont regroupés dans des ensembles ULP (Username Login Password), structurés pour une exploitation immédiate et enrichis des URL de connexion correspondantes. En 2025, Outpost24 recense près de 5,9 milliards d’identifiants dans ces bases agrégées. Cette accumulation progressive transforme une compromission unique en exposition persistante. Alejandro Benito, analyste Threat Intelligence, souligne que « lorsque les identifiants atteignent ce niveau d’agrégation, l’exposition devient durable, ce qui impose une visibilité continue plutôt que des contrôles ponctuels ».
Les comptes techniques et partagés dominent les données compromises
L’analyse des 500 mots de passe les plus fréquemment récupérés met en évidence une prédominance d’identifiants liés à l’infrastructure. Les termes admin, root, user, guest ou administrator apparaissent de façon récurrente, souvent associés à des suites numériques simples. Ces identifiants correspondent rarement à des comptes individuels. Ils renvoient majoritairement à des accès VPN, à des comptes de service, à des identités d’intégration ou à des portails internes.
Ce constat révèle un angle mort persistant des stratégies de cybersécurité. Même lorsque l’authentification multifactorielle progresse pour les utilisateurs finaux, les systèmes hérités, les comptes techniques et les workflows automatisés continuent de reposer sur des mots de passe statiques, rarement audités et fréquemment réutilisés. Le rapport rappelle par ailleurs que 54 % des victimes de rançongiciel avaient leur domaine présent dans des bases d’identifiants compromis, et que 40 % disposaient d’adresses professionnelles exposées, selon les données croisées avec le Data Breach Investigations Report de Verizon.
Le mot de passe, un sujet de gouvernance des identités
Specops insiste sur un déplacement fondamental du problème. L’enjeu ne porte plus sur la pédagogie envers les utilisateur mais sur la gouvernance globale des identités. Le vol d’identifiants s’inscrit désormais dans une logique de persistance. La question devient alors l’exposition dans le temps. Les auteurs recommandent une détection permanente des mots de passe compromis dans Active Directory, le blocage des modèles faibles dès leur création, ainsi que le renforcement des accès externes critiques (VPN, RDP) par une authentification multifactorielle résistante au hameçonnage.
Le rapport décrit également le fonctionnement des infostealers, depuis l’infection initiale (hameçonnage, faux téléchargements, malvertising) jusqu’à l’exfiltration automatisée des identifiants depuis les navigateurs, clients de messagerie, outils d’administration à distance ou même le presse-papiers. Cette approche opportuniste, orientée volume, explique la stabilité du phénomène malgré la multiplication des outils défensifs côté entreprise.
