Tu suis la course aux modèles IA ?
Chaque sortie (GPT, Claude, Gemini, Mistral…) décryptée le soir même, en 5 min. Gratuit.
Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.
Choisis ton rythme
Gratuit · Pas de spam · Désabonnement en 1 clic
Une étude alarmante sur les mots de passe IA
En février 2026, une étude menée par Irregular a mis en lumière un problème majeur concernant les mots de passe générés par l'intelligence artificielle. Les grands modèles de langage, ou LLM, tels que ceux utilisés par des IA comme GPT, Claude et Gemini, ne produisent pas de hasard véritable. Au lieu de cela, ils génèrent des séquences de texte qui semblent plausibles, mais qui manquent cruellement d'entropie. Cette caractéristique rend ces mots de passe prévisibles et donc vulnérables aux attaques.
La prévisibilité des modèles IA
Des tests approfondis sur les modèles d'IA mentionnés ont révélé des motifs récurrents et des doublons dans les mots de passe générés. Cette structure prévisible crée une surface d'attaque potentielle à grande échelle. Les attaquants peuvent ainsi créer des listes de mots de passe « style LLM » en utilisant les mêmes invites que celles utilisées pour générer les mots de passe initiaux.
Les failles spécifiques des mots de passe IA
Les mots de passe créés par des systèmes d'IA généralistes présentent plusieurs types de failles. D'une part, il y a des failles mathématiques dues à des motifs anticipables et à une entropie insuffisante. D'autre part, des failles systémiques apparaissent, telles que la centralisation des données, la journalisation des requêtes et la réutilisation des sorties. Les grands modèles de langage ne sont pas conçus pour générer du hasard, mais pour produire du texte qui semble correct selon ce qu'ils ont appris. Lorsqu'ils sont sollicités pour créer un mot de passe sécurisé, ils ne cherchent pas à maximiser l'imprévisibilité, mais à se conformer à une idée générale d'un bon mot de passe, incluant une majuscule, quelques chiffres et un symbole.
Comprendre l'entropie
L'entropie est une mesure de la complexité et de l'imprévisibilité d'un mot de passe. Plus l'entropie est élevée, plus il est difficile de deviner le mot de passe. Par exemple, un mot de passe avec seulement 20 bits d’entropie nécessiterait environ 1 million d'essais pour être deviné. En revanche, un mot de passe avec 100 bits d’entropie nécessiterait 2¹⁰⁰ essais, un nombre astronomique qui rendrait le déchiffrement pratiquement impossible, même sur des milliards d'années.
Analyse des modèles récents
L'étude d'Irregular a testé plusieurs modèles récents, dont GPT, Claude et Gemini. Bien que certains résultats paraissent solides, des motifs récurrents ont été observés. Par exemple, sur 50 mots de passe générés, tous commencent par une lettre, souvent un « G » majuscule suivi d'un chiffre 7. Aucun caractère ne se répète, ce qui est improbable dans un tirage aléatoire. De plus, sur les 50 mots de passe générés, seulement 30 sont uniques, les autres étant des duplications.
Les dangers de la standardisation
La standardisation des mots de passe générés par IA pose un risque significatif. Si un grand nombre d'utilisateurs s'appuient sur les mêmes modèles publics pour générer leurs mots de passe, cela conduit à des créations très similaires. Cette homogénéité offre un terrain fertile pour des attaques à grande échelle, où les attaquants peuvent facilement générer des listes de mots de passe « style LLM » à partir des mêmes invites.
Recommandations pour une sécurité accrue
Pour pallier ces failles, il est conseillé d'utiliser un gestionnaire de mots de passe qui intègre un générateur aléatoire cryptographiquement sécurisé. Contrairement aux IA généralistes, ces outils sont conçus pour produire des chaînes réellement imprévisibles et uniques. De plus, l'activation de la double authentification est fortement recommandée pour limiter les dégâts en cas de fuite de données.