MD5 craqué : 60% des mots de passe vulnérables en 1 heure

Les mots de passe stockés à l'aide d'une méthode de hachage courante seraient bien moins sécurisés que beaucoup de propriétaires de sites web ne le supposent. Selon un article du Register citant des recherches du cabinet de sécurité Kaspersky, 60 % des mots de passe hachés en MD5, issus d'un jeu de données de plus de 231 millions de mots de passe uniques, pourraient apparemment être craqués à l'aide d'une simple carte graphique grand public en moins d'une heure. Selon la même source, 48 % pourraient être compromis en moins de 60 secondes.

La recherche a été publiée le 7 mai 2026, mais il convient de noter que l'article du Register est une source secondaire qui rend compte des conclusions de Kaspersky. Les détails méthodologiques précis peuvent différer dans le rapport original de Kaspersky.

Ce que la recherche a révélé

Selon le Register, les chercheurs de Kaspersky ont utilisé une seule carte graphique Nvidia RTX 5090 pour tester la rapidité avec laquelle des mots de passe hachés en MD5 pouvaient être craqués. Le jeu de données contenait plus de 231 millions de mots de passe uniques.

La conclusion principale, telle que rapportée par le Register, est que les mots de passe protégés uniquement par des algorithmes de hachage rapides comme MD5 ne sont plus sûrs si des attaquants les obtiennent lors d'une violation de données. Deux facteurs expliqueraient ce phénomène : la prévisibilité des mots de passe et la puissance croissante des processeurs graphiques.

Kaspersky est cité en ces termes : « Une heure suffit à un attaquant pour craquer trois mots de passe sur cinq trouvés dans une fuite. »

La recherche aurait également comparé ses résultats à une étude similaire menée par Kaspersky en 2024. Selon le Register, les mots de passe seraient « quelques pourcents » plus faciles à craquer en 2026 qu'ils ne l'étaient à l'époque, bien que les chiffres exacts de l'étude 2024 ne soient pas précisés dans la source.

Pourquoi cela concerne les petites entreprises

Si votre site web stocke des mots de passe d'utilisateurs, la manière dont ces mots de passe sont protégés en coulisses est d'une importance capitale. De nombreuses plateformes et extensions web plus anciennes utilisent encore MD5 pour hacher les mots de passe, ce que cette recherche suggère ne plus être suffisant.

Il ne s'agit pas ici d'une sanction ou d'une intervention d'un régulateur. Il s'agit du risque concret pour vos clients si votre site est un jour impliqué dans une violation de données. Un stockage faible des mots de passe signifie que des attaquants pourraient accéder rapidement aux comptes de vos clients, et potentiellement utiliser ces mêmes mots de passe pour accéder à d'autres services qu'ils utilisent.

Si vous ne savez pas comment votre site stocke les mots de passe, il vaut la peine de vérifier auprès de votre développeur web ou de votre hébergeur. Vous pouvez également consulter notre liste de contrôle sécurité pour les petites entreprises et vérifier si certaines de vos extensions WordPress présentent des vulnérabilités connues.

Qu'est-ce que cela signifie pour votre site web ?

Si votre site web dispose de comptes utilisateurs ou d'un espace de connexion, la manière dont les mots de passe sont stockés est une décision technique qui a des conséquences réelles sur la sécurité de vos clients. Demandez à votre développeur ou à votre prestataire de plateforme si votre site utilise un algorithme de hachage moderne et lent plutôt que MD5. Cette démarche est un moyen simple de réduire les risques sans attendre qu'un régulateur comme la CNIL l'exige.