Pourquoi générer son mot de passe avec l’IA est une très mauvaise idée

Pourquoi générer son mot de passe avec l’IA est une très mauvaise idée

Une étude d’Irregular (février 2026) révèle que les mots de passe générés par IA manquent d’entropie, car les LLM (grands modèles de langage) ne produisent pas de hasard, mais du « plausible ».

Des tests sur GPT, Claude et Gemini mettent en évidence des motifs récurrents et des doublons, soulignant une prévisibilité structurelle des sorties. Cette standardisation crée une surface d’attaque à grande échelle, permettant aux attaquants de forger des listes de mots de passe « style LLM » à partir des mêmes prompts.

Les failles des mots de passe générés par IA

Les mots de passe issus des systèmes d’IA généralistes introduisent une nouvelle catégorie de failles :

• Mathématiques : motifs anticipables et entropie insuffisante, c’est-à-dire l’imprévisibilité du mot de passe.
• Systémiques : centralisation, logs, réutilisation des sorties.

Un grand modèle de langage ne génère pas de hasard. Il produit du texte plausible, c’est-à-dire des séquences qui ressemblent à ce qu’il a appris. Lorsqu’on lui demande de générer « un mot de passe sécurisé », il ne cherche pas à maximiser l’imprévisibilité, mais tente de coller à une idée moyenne de ce qu’est un bon mot de passe : une majuscule, quelques chiffres, un symbole.

L'entropie et sa mesure

L’entropie mesure le nombre de possibilités, donc la difficulté à deviner un mot de passe. Plus elle est élevée, plus le nombre de combinaisons explose. Les IA échouent à produire des chaînes uniformément aléatoires. Par exemple :

• Un mot de passe avec seulement 20 bits d’entropie nécessiterait environ 2²⁰ essais, soit environ un million d’essais.
• À l’inverse, un mot de passe avec 100 bits d’entropie correspond à 2¹⁰⁰ essais, un nombre à 31 chiffres, dont le déchiffrement exigerait des milliards d’années.

Tests sur les modèles récents

Irregular a testé plusieurs modèles récents, dont GPT, Claude et Gemini. Bien que certains résultats semblent solides, des motifs apparaissent rapidement :

• Sur 50 générations, tous les mots de passe commencent par une lettre, souvent un « G » majuscule suivi d’un 7.
• Aucun caractère ne se répète, ce qui est très improbable dans un tirage réellement aléatoire.
• Des duplications complètes apparaissent : parmi les 50 tentatives, on ne compte en réalité que 30 mots de passe uniques.

Risques de standardisation

La standardisation des mots de passe générés par IA pose un risque majeur. Si des millions d’utilisateurs s’appuient sur les mêmes modèles publics, ils produisent des mots de passe qui se ressemblent. Cela crée un terrain idéal pour des attaques à grande échelle.

Les attaquants peuvent générer leurs propres listes de mots de passe « style LLM » à partir des mêmes prompts, tout comme les listes de mots de passe les plus courants, mais adaptées aux sorties des modèles.

Solutions recommandées

La solution recommandée reste d’utiliser un gestionnaire de mots de passe intégrant un générateur aléatoire cryptographiquement sécurisé. Contrairement aux IA généralistes, ces outils sont conçus pour produire des chaînes réellement imprévisibles et uniques. De plus, activer la double authentification est indispensable pour limiter les dégâts en cas de fuite.