La semaine dernière, un listing de plus de 10 000 comptes Windows Live Hotmail avec adresses et mots de passe a été publié sur la Toile. Microsoft a confirmé une attaque de type phishing qui a visiblement fonctionné auprès de nombre d'utilisateurs. Ce type de publication a continué avec touchés les services Gmail ou encore Yahoo! Mail.

Pour cette attaque d'envergure, les mots de passe n'ont pas été cassés mais l'analyse du premier listing peut donner quelques sueurs froides aux tenants de la sécurité informatique qui insistent lourdement sur le choix d'un sésame robuste et unique, si possible à renouveler tous les trois mois.

Un chercheur d'Acunetix a procédé à une rapide analyse statistique des mots de passe utilisés pour les comptes Hotmail, MSN et Live.com compromis et provenant pour majorité d'Europe. Pour 42 % des utilisateurs hameçonnés avec succès, les mots de passe étaient uniquement constitués de lettres en minuscules. Pour 19 %, le mot de passe contenait seulement une série de chiffres, et c'est ainsi que le mot de passe avec le plus d'occurrences a été le très banal 123456 ( 64 fois ), suivi de 123456789.

3 % des mots de passe ont utilisé un mélange de lettres en majuscules et minuscules, et 30 % un mélange de lettres et de chiffres. Enfin, seulement 6 % des mots de passe étaient un mélange de caractères alphanumériques et non-alphanumériques, soit le type de mot de passe considéré comme le plus robuste.

La longueur des mots de passe la plus souvent rencontrée a été de six ( 22 % ) ou huit caractères ( 21 %). Le mot de passe le plus court contenait un unique caractère et le plus long trente : lafaroleratropezoooooooooooooo. De nombreux mots de passe étaient des prénoms à consonance hispanique. Un phishing qui a ciblé les utilisateurs hispanophones ?