Publié le 9 novembre 2025. Des failles de sécurité exploitées via des mots de passe simplistes ont entraîné des vols d’œuvres d’art, des cyberattaques paralysantes et même des risques de guerre nucléaire. Ces incidents, dont certains refont surface des années après, rappellent l’importance cruciale de la cybersécurité face à des menaces toujours plus sophistiquées.
- Le mot de passe « PERSIENNE » pour le réseau de vidéosurveillance du Louvre, oublié mais révélé dans un rapport de 2014, a refait surface suite au récent cambriolage du musée.
- Une cyberattaque contre Colonial Pipeline en 2021, causée par un mot de passe compromis sur un compte VPN, a paralysé un important réseau d’approvisionnement en carburant aux États-Unis.
- Pendant la Guerre Froide, le système de lancement nucléaire américain utilisait un code de seulement huit zéros, une simplicité alarmante qui ne dépendait que de la fiabilité de deux opérateurs.
Alors que la complexité des mots de passe est souvent perçue comme une corvée, des exemples récents et passés démontrent qu’une approche laxiste peut avoir des conséquences dévastatrices. La simplicité de « PERSIENNE » pour sécuriser le réseau du Louvre, bien que révélée en 2014, résonne particulièrement après le retentissant vol de joyaux historiques le mois dernier, une perte financière immense pour l’institution parisienne.
L’affaire Colonial Pipeline, en mai 2021, a mis en lumière les dangers d’un mot de passe unique compromis pour un compte VPN utilisé pour un accès à distance. Cette brèche a permis au groupe de pirates Darkside de paralyser les opérations de l’une des plus grandes infrastructures énergétiques américaines. Bien que le PDG ait assuré que le mot de passe n’était pas « Colonial123 », il était néanmoins lié à un compte devenu obsolète et non protégé par une authentification multifacteur, conduisant à une demande de rançon de 4,4 millions de dollars. Le FBI a par la suite réussi à récupérer une partie des fonds extorqués.
Ironiquement, la notion de mots de passe simples remonte à des contextes bien plus critiques. Bruce Blair, ancien officier de l’US Air Force et expert en politique nucléaire, a révélé qu’entre 1962 et le milieu des années 1970, le système de lancement nucléaire américain reposait sur une combinaison de huit zéros. Cette simplicité déconcertante, censée être compensée par la « règle des deux hommes » (deux opérateurs devant être présents pour autoriser un lancement), s’est avérée fragile. Des rotations de sommeil entre ces opérateurs pouvaient laisser une seule personne avec le pouvoir de déclencher une apocalypse. Ce système a finalement été renforcé par un code d’activation unique transmis par une autorité supérieure, rendant le déclenchement moins dépendant d’une simple action humaine.
Plus récemment, en juin 2023, le groupe de cybercriminels Akira a ciblé KNP, une entreprise de transport du Northamptonshire, au Royaume-Uni. L’accès a été obtenu en devinant le mot de passe d’un employé, menant au chiffrement des données et au blocage des systèmes internes. L’entreprise, vieille de 158 ans, a finalement fait faillite, son directeur ayant admis que le mot de passe incriminé n’avait jamais été signalé comme compromis.
Scandale de piratage téléphonique :
Le scandale du piratage téléphonique, qui a secoué les tabloïds britanniques pendant plusieurs années, a vu des personnalités telles que Hugh Grant, le prince Harry et Sienna Miller devenir victimes. L’accès aux messages vocaux était souvent facilité par l’utilisation de codes d’accès par défaut, comme 1111, 4444 ou 1234, que les journalistes et enquêteurs privés pensaient rarement modifiés par les utilisateurs. Ce scandale a conduit à la fermeture du journal *News Of The World* en 2011 et a déclenché une enquête sur les pratiques de la presse.
Dans un autre registre, l’actuel chef du Parti conservateur britannique, Kemi Badenoch, a avoué en 2018 avoir piraté, dix ans plus tôt, le site web de sa collègue travailliste Harriet Harman. Le mot de passe permettant de modifier le contenu du site était tout simplement « Harriet Harman ». L’intéressé a depuis qualifié cet acte de « farce stupide ».
Plus récemment encore, entre août 2021 et 2022, des cyberattaquants ont accédé aux ordinateurs contenant les registres électoraux du Royaume-Uni. L’enquête du Bureau du commissaire à l’information (ICO) a révélé que l’accès avait été obtenu en imitant un compte utilisateur légitime, faute de mesures de sécurité adéquates. Des mises à jour logicielles cruciales n’avaient pas été installées, et des politiques de mots de passe sécurisés n’étaient pas appliquées. L’ICO a découvert 178 comptes de messagerie actifs utilisant des mots de passe identiques ou similaires à ceux par défaut. La Commission électorale a été formellement réprimandée pour cette négligence, bien qu’aucune preuve d’utilisation abusive des données n’ait été constatée.