Le piratage, à la fin 2009, du site de jeux en ligne RockYou.com a été un tournant. Il a permis à la communauté des pirates de mettre la main d'un seul coup sur 14,3 millions de mots de passe différents. Quand on considère qu'il y en avait en tout 32 millions, en incluant les doublons, on comprend qu'il y en avait certainement plusieurs qui se répétaient à quelques occasions.

Cette immense nouvelle base d'informations leur a été utile de deux façons.

D'abord, il faut savoir que la majorité des mots de passe sont cryptés en utilisant le même protocole. Et que ce protocole donne toujours le même résultat pour le même mot de passe. Si votre mot de passe est « motdepasse » (sans les guillemets), l'équivalent crypté est « b6edd10559b20cb0a3ddaeb15e5267cc ».

En « traduisant » ainsi les 14 millions de mots de passe saisis, les pirates ont pu créer un outil qui convertit plusieurs des mots de passe les plus populaires de façon presque instantanée. Si le vôtre en fait partie, il ne vaut pas grand-chose.

Mais plus encore, les pirates ont tiré quelques leçons en observant ces 14 millions de mots de passe. Par exemple, la majuscule, s'il y a lieu, est presque toujours au début. Les chiffres, à la fin. Et les gens aiment beaucoup combiner leur prénom et leur année de naissance.

Du coup, ils ont pu concevoir des logiciels qui, plutôt que d'essayer toutes les combinaisons possibles et imaginables, se concentrent d'abord sur les plus probables. 

Les résultats ont été spectaculaires. Alors que pirater un seul mot de passe pouvait prendre des jours, l'auteur rappelle que 90 % des 6,5 millions de mots de passe cryptés dérobés à LinkedIn en juin dernier avaient été décodés à peine six jours plus tard.

À l'ère du commerce électronique, de l'informatique en nuage, des transactions bancaires en ligne, du télétravail et de la virtualisation, jamais la sécurité d'autant d'argent n'a reposé sur des mots de passe. Que ce soit pour votre propre compte ou celui de votre entreprise, l'article d'Ars Technica doit servir de réveil.