Vous avez besoin d'un mot de passe complexe ? L'idée de demander à ChatGPT ou Claude d'en générer un peut sembler séduisante : en quelques secondes, vous obtenez une suite de caractères aléatoires, avec majuscules, chiffres et symboles. Mais ces mots de passe sont en réalité prévisibles, et donc vulnérables aux attaques.
Des chercheurs de la société Irregular et l'équipe de Kaspersky ont testé les principales IA conversationnelles (ChatGPT, Claude, Gemini, Llama et DeepSeek) et tous génèrent des mots de passe beaucoup plus faibles qu'ils n'en ont l'air.
Pourquoi cette pratique se répand ?
Avec l'explosion de l'intelligence artificielle accessible à tous, il est devenu naturel chez certains de solliciter ChatGPT ou ses concurrents pour toutes sortes de tâches. Créer un mot de passe en fait partie : pas besoin de chercher un outil spécialisé, l'IA est déjà ouverte dans le navigateur.
Cette tendance touche particulièrement deux publics. D'abord, les personnes moins à l'aise avec la technologie, qui ne connaissent pas nécessairement les gestionnaires de mots de passe. Ensuite, et c'est plus inquiétant, les développeurs qui utilisent des agents de code automatisés : ces outils peuvent générer du code contenant des mots de passe via l'IA, sans que le développeur ne s'en aperçoive.
Comment fonctionne un bon générateur de mots de passe ?
Un générateur de mots de passe sécurisé utilise un générateur de nombres pseudo-aléatoires cryptographiquement sûr (CSPRNG). Ce système garantit que chaque caractère est choisi de manière imprévisible et que tous les caractères possibles ont la même probabilité d'apparaître. C'est ce qui rend un mot de passe vraiment aléatoire, donc difficile à deviner.
Les modèles de langage comme ChatGPT fonctionnent différemment : ils prédisent le prochain mot ou caractère en se basant sur des milliards de textes analysés. Ils ne génèrent pas de l'aléatoire, ils imitent des schémas existants. Leurs mots de passe contiennent donc des motifs prévisibles.
Les tests menés par Kaspersky sur 1 000 mots de passe générés par chaque modèle révèlent des problèmes concrets :
- DeepSeek et Llama génèrent régulièrement des variantes de mots du dictionnaire (S@d0w12, M@n@go3, B@n@n@7) ou même du mot « password » (P@ssw0rd, P@ssw0rd!23).
- ChatGPT fait mieux en apparence, mais ses mots de passe contiennent des lettres et symboles qui reviennent trop souvent : le chiffre 9, les lettres x, p, L, et le symbole @ sont surreprésentés.
- 26 à 32 % des mots de passe générés manquent de chiffres ou de caractères spéciaux.
- Certains modèles produisent même des mots de passe de moins de 12 caractères.
Pire encore : lorsque les chercheurs d'Irregular ont demandé plusieurs fois le même prompt à Claude Opus, le modèle a généré exactement le même mot de passe plusieurs fois. Un comble pour un générateur censé produire de l'aléatoire.
Bref.
- Utilisez un gestionnaire de mots de passe dédié, comme Bitwarden ou 1Password. Ces outils intègrent de vrais générateurs aléatoires et stockent vos mots de passe de manière chiffrée.
- Si vous développez avec des agents de code, vérifiez le code produit et assurez-vous que les mots de passe ou clés générés proviennent de bibliothèques sécurisées.
- Ne réutilisez jamais un mot de passe, même s'il semble complexe. Un gestionnaire vous permet d'en avoir un unique par service, sans effort de mémorisation.