Mots de passe générés par l’IA: une sécurité illusoire?
Malgré leur apparente complexité, les mots de passe générés par des modèles d’IA peuvent présenter des schémas prévisibles. Une analyse d’Irregular met en évidence les risques de prévisibilité liés à l’usage de ces outils pour la génération de mots de passe.
Lorsqu’un grand modèle de langage (LLM) comme ChatGPT, Claude ou Gemini est sollicité pour générer un mot de passe, le résultat paraît convaincant: une longue suite de lettres, de chiffres et de symboles. Selon une analyse du prestataire en cybersécurité Irregular, cette apparente complexité masque toutefois une faiblesse structurelle, les mots de passe générés par l’IA restant largement prévisibles.
Le problème vient du fonctionnement même de ces modèles. Un mot de passe robuste repose sur une part réelle d’aléatoire, produite par des générateurs de nombres aléatoires cryptographiquement sûrs. Les modèles de langage, à l’inverse, sont conçus pour reconnaître des motifs et prédire la séquence la plus probable. Ils génèrent ainsi des combinaisons plausibles, à l’opposé de l’imprévisibilité requise en matière de sécurité.
Des motifs prévisibles au lieu du hasard
Dans leurs tests, les chercheurs ont demandé à plusieurs reprises à des modèles d’IA de générer des mots de passe. Les résultats sont préoccupants. Le modèle Claude Opus 4.6 n’a produit que 30 mots de passe uniques sur 50 tentatives. Un même mot de passe, «G7$kL9#mQ2&xP4!w», est même apparu à 18 reprises. ChatGPT et Gemini ont montré des comportements similaires: les mots de passe commencent souvent par les mêmes lettres, utilisent un nombre limité de caractères spéciaux et présentent des structures répétitives.
La solidité d’un mot de passe se mesure en bits d’entropie, c’est-à-dire le nombre moyen de tentatives nécessaires pour le deviner par une attaque de type «force brute». Un mot de passe généré par l’IA peut sembler afficher plus de 100 bits d’entropie selon les outils classiques, ce qui correspondrait à des milliards d’années de calcul. En réalité, selon Irregular, cette valeur tombe souvent à 20 ou 30 bits, ce qui ramène le temps de cassage à quelques secondes ou minutes.
Le danger invisible des assistants de programmation
Le risque devient particulièrement critique avec l’usage d’assistants de programmation basés sur l’IA. Avec le «vibe coding», où des blocs entiers de code sont générés sans vérification détaillée, ces outils créent parfois automatiquement des mots de passe pour des bases de données ou des services. Plutôt que d’utiliser des méthodes standard sécurisées, ils laissent souvent le modèle de langage inventer directement les mots de passe.
Résultat: des identifiants extrêmement faibles se retrouvent intégrés au code source sans que personne ne s’en aperçoive. Les spécialistes ont déjà identifié de nombreux exemples de mots de passe générés par l’IA et inscrits en dur dans des projets accessibles sur GitHub.
Le retour en force des attaques par force brute
Cette situation ouvre de nouvelles opportunités aux attaquants. Au lieu de tester des combinaisons entièrement aléatoires, ils peuvent désormais mener des attaques par dictionnaire ciblées, basées sur les mots de passe les plus fréquemment produits par les IA. S’ils soupçonnent qu’un service a été développé avec l’aide de l’IA, ils peuvent tester en priorité ces combinaisons «probables».
L’analyse souligne que les modèles de langage ne constituent pas des outils adaptés à la génération de mots de passe. Elle rappelle l’importance de recourir à des générateurs cryptographiquement sûrs et, dans le développement logiciel, de contrôler systématiquement le code produit par l’IA afin d’identifier d’éventuelles données d’accès codées en dur.
L’actualité IT en Suisse et à l’international, avec un focus sur la Suisse romande, directement dans votre boîte mail > Inscrivez-vous à la newsletter d’ICTjournal, envoyée du lundi au vendredi!
