À quelques heures du coup d’envoi de la Coupe du Monde 2026, nous avons une certitude : ce sera la dernière participation de Messi et de Cristiano Ronaldo. Sachez que ce duel dépasse les frontières du football puisqu’il existe aussi du côté des mots de passe utilisés par les utilisateurs : de nombreuses personnes font référence à leur joueur préféré ou à leur club favori lorsqu’il est question de créer un mot de passe. Lorsque ces mots de passe sont utilisés en entreprise, au niveau de l’annuaire Active Directory, cela a des chances de faire le bonheur des attaquants.
Les grands événements sportifs ne font pas qu’animer les conversations à la machine à café. Ils s’invitent aussi, et de manière concrète, dans les mots de passe choisis par les collaborateurs. À l’approche du Mondial nord-américain, l’éditeur Specops Software a publié une analyse portant sur plus de 6,4 milliards de mots de passe compromis afin de mesurer l’influence du football sur les habitudes des utilisateurs.
Le constat : les noms de joueurs et de clubs y figurent en bonne place, avec des variantes faciles à deviner bien que respectueuses des bonnes pratiques de sécurité. Ce n’est pas surprenant puisque l’on s’inspire souvent de ce que l’on aime ou possède au moment d’imaginer un mot de passe.
Dans cet article, je vous propose de décortiquer ce phénomène, notamment pour comprendre pourquoi ces mots de passe “thématiques” représentent un point faible récurrent pour les entreprises. Ce sera aussi l’occasion de voir comment se protéger avec l’outil Specops Password Policy, en particulier avec sa fonction Breached Password Protection qui permet de traiter le problème dans l’Active Directory.
Cet article inclut une communication commerciale pour Specops Software.
Pourquoi les utilisateurs choisissent des mots de passe liés à l’actualité
Le constat de départ est simple : un utilisateur doit aujourd’hui gérer un nombre de mots de passe que personne n’aurait imaginé il y a quinze ans.
Comptes professionnels, applications SaaS, accès VPN, messagerie, outils internes… Les utilisateurs doivent gérer de multiples mots de passe. Même s’il y a du SSO et des mécanismes d’authentification permettant d’utiliser un même compte pour accéder à plusieurs services, il y aura toujours des exceptions et une multiplication du nombre de mots de passe à enregistrer.
Pour réduire la charge mentale associée à la gestion de ces mots de passe, l’utilisateur a deux options : utiliser un générateur de mots de passe (recommandé) ou s’appuyer sur des références personnelles (plus facile à retenir).
Dans ce second scénario, le football coche toutes les cases : un joueur que l’on admire, un club que l’on soutient depuis l’enfance, une finale restée gravée dans les mémoires (préférez celle de 2018 à celle de 2022). Ces éléments sont mémorables parce qu’ils ont une charge émotionnelle. Au moment où une politique de mots de passe impose de renouveler son précieux sésame, le cerveau va naturellement piocher dans ce qui occupe l’actualité ou les centres d’intérêt du moment. Le grand évènement du moment, c’est la Coupe du Monde de football 2026 organisée aux États-Unis, au Mexique et au Canada.
C’est exactement ce que met en évidence l’étude de Specops. En analysant des données issues de fuites récentes, notamment le dump d’infostealer baptisé Alien Txtbase, les chercheurs ont dressé un classement des noms de joueurs les plus présents dans les mots de passe compromis.
Si vous cherchiez à nommer le plus grand joueur de l’histoire, voici une piste basée sur l’analyse des mots de passe.
Le nom de Lionel Messi arrive largement en tête avec plus de 1,2 million d’occurrences, devançant Cristiano Ronaldo et ses 923 000 apparitions, soit un écart d’environ 26 %. Derrière eux, pas de joueurs français, mais des joueurs de plusieurs générations, comme Vinicius, Salah, Saka, Kane ou encore Pedri. Une chose est certaine : les performances d’un joueur influencent sa popularité, et donc la probabilité que son nom soit utilisé pour construire un mot de passe.
Source : Specops Software
Le classement des clubs partagé par Specops Software m’a vraiment surpris. L’AS Roma domine avec plus de 5,3 millions d’occurrences, loin devant Porto, Barcelone ou Lyon, avec 10 fois plus d’occurrences. Surprenant. “Cet écart s’explique probablement davantage par les références à la ville de Rome que par les supporters du club lui-même.”, peut-on lire dans le rapport.
Ce mécanisme ne se limite évidemment pas au ballon rond. La pop culture, les séries à succès, les sorties de films ou les noms d’artistes produisent le même effet. La Coupe du Monde n’est qu’un révélateur visible d’une tendance de fond : beaucoup d’utilisateurs construisent leurs mots de passe à partir de ce qui les entoure, et une partie de ce qui les entoure est connue de tout le monde.
Le problème, c’est qu’un mot de passe facile à retenir pour un humain est aussi, le plus souvent, facile à retrouver pour une machine. Et contrairement à une idée reçue, les attaquants ne testent pas les mots de passe un par un à la main.
Ils s’appuient sur des outils éprouvés pour générer des listes de mots de passe, en particulier des listes pertinentes et contextualisées (nous avons évoqué CeWL dans un précédent article). Ces listes intègrent des mots correctement écrits, mais aussi des variantes capables de devenir un mot de passe robuste suite à cette transformation. L’idée étant de reproduire les habitudes des utilisateurs : ajout d’une année à la fin, substitution de lettres par des chiffres (le “o” remplacé par “0”, le “a” par “@”), majuscule en début de mot, point d’exclamation à la fin.
Prenons un exemple tiré de l’étude de Specops Software. Un fan de Cristiano Ronaldo qui choisit “Cr7ronaldo@?” comme mot de passe a le sentiment d’avoir fait le bon choix : son mot de passe contient des majuscules, des minuscules, des chiffres et des caractères spéciaux. Il satisfait donc à toutes les exigences de complexité d’une politique classique. Pourtant, si un attaquant sait ou suppose, que cet utilisateur est amateur de football, ce mot de passe devient hautement prévisible, même s’il n’a jamais fuité auparavant. La complexité apparente ne protège de rien lorsque le motif sous-jacent est devinable.
Un autre mot de passe comme “Messi2022!” présent dans cette étude illustre parfaitement le schéma [mot][année][symbole], l’un des plus répandus dans les fuites.
Deux familles d’attaques tirent directement profit de cette prévisibilité :
Password spraying : plutôt que de tester de nombreux mots de passe sur un seul compte, ce qui déclencherait un verrouillage, l’attaquant teste quelques mots de passe très probables sur un grand nombre de comptes.
Credential stuffing : les utilisateurs réutilisant fréquemment leurs identifiants, un mot de passe compromis sur un service grand public peut ouvrir la porte à un compte professionnel hébergé dans Active Directory. Un identifiant exposé dans un contexte anodin devient alors un point d’entrée vers le système d’information de l’entreprise.
Plus l’attaquant dispose d’informations contextuelles sur sa cible, secteur d’activité, actualité du moment, centres d’intérêt supposés, plus ces attaques deviennent ciblées et efficaces. La Coupe du Monde 2026 offre précisément ce contexte sur un plateau, à l’échelle planétaire et sur plusieurs semaines.
Les limites des politiques de mots de passe natives sous Windows
Face à ce constat, on pourrait penser que les stratégies de mots de passe intégrées à Active Directory suffisent. Elles constituent en effet le socle de la sécurité des identifiants dans la plupart des environnements Windows, mais elles montrent rapidement leurs limites lorsqu’il s’agit de contrer des mots de passe thématiques comme ceux liés au football.
Les stratégies de groupe permettent de définir les paramètres classiques : longueur minimale, historique des mots de passe, durée de vie maximale, complexité imposant plusieurs catégories de caractères. Ces réglages sont utiles, mais ils raisonnent uniquement en termes de structure, pas de signification. Le mécanisme de complexité natif se contente de vérifier la présence de majuscules, de minuscules, de chiffres et de symboles. Selon ce type de stratégie, le mot de passe “Messi2026!” apparait comme valide, puisque ce mot de passe contient bien les quatre catégories attendues. Le moteur natif n’a aucune notion du fait que “Messi” est un terme massivement présent dans les fuites.
Les stratégies de mots de passe affinées, introduites par Microsoft pour appliquer des politiques différenciées selon les groupes d’utilisateurs, apportent de la souplesse mais ne changent rien sur le fond. Les règles applicables sont les mêmes : pas de dictionnaire de termes interdits, ni vérification par rapport à des bases de mots de passe compromis.
Exemple d’une politique de mot de passe affinée
Cette absence de dictionnaire personnalisable est l’une des lacunes. Avec les outils natifs, vous ne pouvez pas interdire facilement une liste de mots sensibles, qu’il s’agisse du nom de votre entreprise, de vos produits, de termes sectoriels ou de l’actualité sportive du moment. Vous ne pouvez pas non plus comparer le mot de passe choisi à une base de milliards d’identifiants déjà exposés. Or c’est exactement ce dont on a besoin pour neutraliser les mots de passe prévisibles.
L’intérêt de bloquer les mots de passe faibles et compromis dans Active Directory
La logique à adopter consiste donc à déplacer le contrôle au bon endroit : au moment précis où l’utilisateur définit ou modifie son mot de passe, directement dans Active Directory. C’est à cet instant qu’il faut pouvoir refuser un mot de passe faible, prévisible ou déjà exposé, avant qu’il ne soit utilisé pendant des mois.
Bloquer un mot de passe a posteriori, une fois la fuite détectée, est toujours possible mais moins satisfaisant : entre le moment où l’identifiant est créé et celui où le risque est identifié, une fenêtre d’exposition existe. L’approche préventive, qui consiste à empêcher l’utilisateur de choisir un mauvais mot de passe dès le départ, réduit cette fenêtre et évite des réinitialisations en urgence.
Pour être efficace, cette vérification doit s’appuyer sur deux piliers :
Un dictionnaire personnalisé : il permet d’interdire les termes liés à l’organisation et les mots à la mode, comme les noms de joueurs ou d’équipes pendant un grand tournoi. C’est une mesure préventive
Une base de données de mots de passe compromis, mise à jour en continu : elle permet de refuser tout mot de passe ayant déjà fuité dans une attaque réelle.
Specops Password Policy et Breached Password Protection : la solution
Specops Password Policy est une solution qui vient s’intégrer à Active Directory pour étendre les capacités des stratégies de groupe natives en matière de politique de mots de passe. Cette solution s’installe sur les contrôleurs de domaine AD et s’appuie sur les GPO pour appliquer les règles, ce qui permet de cibler les politiques par unité d’organisation ou par groupe, sans bouleverser l’architecture en place. Côté administrateur, on conserve ses repères, tout en disposant de réglages bien plus fins.
Il y a notamment des fonctionnalités natives pour bloquer des listes de mots de passe (dictionnaires) et les mots de passe compromis. En effet, vous pouvez interdire une liste de termes de votre choix, et l’outil applique automatiquement des règles de détection des variantes : la substitution de caractères, l’ajout de chiffres ou de symboles ne suffisent plus à contourner l’interdiction. Autrement dit, on simule le comportement d’un utilisateur en anticipant les variantes qu’il peut imaginer.
Pendant la Coupe du Monde, ajouter au dictionnaire une liste de noms de joueurs, de clubs et de termes liés à la compétition devient une opération de quelques minutes. Vous fermez ainsi la porte à toute une famille de mots de passe prévisibles.
Pour aller encore plus loin, c’est vers la fonction Breached Password Protection de Specops Password Policy qu’il faut s’orienter. Elle compare les mots de passe des utilisateurs à une base de données d’identifiants compromis qui dépasse aujourd’hui les 6,1 milliards d’entrées.
Depuis plusieurs années, cette base est alimentée en continu par l’équipe de recherche de Specops, à partir de sources variées. Ils utilisent notamment un réseau de honeypots, des données de threat intelligence et des fuites issues d’activités d’infostealers. D’ailleurs, l’étude publiée récemment à propos de la Coupe du Monde mentionne que 300 millions de nouveaux mots de passe compromis ont été ajoutés récemment au service.
Le dictionnaire de mots interdits et la détection de mots de passe compromis sont deux mesures protectrices complémentaires et qui ont fait leurs preuves. La solution de chez Specops Software prend aussi en charge les passphrases (phrases de passe), ce que je vous recommande. Elles sont naturellement plus longues que les mots de passe, et donc avec une entropie plus importante.
Les référentiels actuels, qu’il s’agisse des publications du NIST ou des guides de l’ANSSI, mettent désormais l’accent sur la longueur et sur le bannissement des mots de passe compromis, plutôt que sur des règles de complexité rigides qui poussent les utilisateurs vers des schémas prévisibles. Autrement dit, préférez les passphrases.
Conclusion
La Coupe du Monde 2026 va concentrer l’attention de centaines de millions de personnes, et une partie d’entre elles transposera, consciemment ou non, sa passion du football dans ses mots de passe professionnels. Pensez-y au moment où vous ou vos utilisateurs aurez à modifier leur mot de passe dans les prochaines semaines.
Ce qu’il faut retenir : ne vous fiez pas aux apparences. La complexité apparente d’un mot de passe ne dit rien de sa résistance réelle. À l’heure actuelle, la situation est bien plus complexe à cause de la forte activité des cybercriminels depuis plusieurs années.
C’est le moment d’améliorer la sécurité de votre Active Directory et de regarder les matchs des Bleus un peu plus sereinement. À bon entendeur.
Cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Mon obsession depuis près de 15 ans ? Rendre l’administration système et la cybersécurité accessibles, que vous soyez junior ou confirmé. Plus qu’un métier, l’IT est pour moi une véritable passion. J’accompagne au quotidien les sysadmins et les professionnels de l’IT dans leur montée en compétences et leur veille technique.