Je suis un peu un record rayé en matière de sécurité personnelle sur Internet : créez des mots de passe forts pour chaque compte ; ne réutilisez jamais de mots de passe ; et inscrivez-vous pour une authentification à deux facteurs dans la mesure du possible. Avec ces trois étapes combinées, votre sécurité générale est quasiment définie. Mais comment vous faites en sorte que ces mots de passe soient tout aussi importants que de rendre chacun fort et unique. Par conséquent, veuillez ne pas utiliser un programme d’IA pour générer vos mots de passe.
Si vous êtes fan des chatbots comme ChatGPT, Claude ou Gemini, cela peut sembler évident de demander à l’IA de générer des mots de passe pour vous. Vous aimerez peut-être la façon dont ils gèrent d’autres tâches pour vous, il peut donc être logique que quelque chose d’aussi high-tech mais accessible puisse produire des mots de passe sécurisés pour vos comptes. Mais les LLM (grands modèles de langage) ne sont pas nécessairement bons dans tout, et la création de bons mots de passe fait partie de ces défauts.
Les mots de passe générés par l’IA ne sont pas sécurisés
Comme l’a souligné Malwarebytes Labs, les chercheurs ont récemment étudié les mots de passe générés par l’IA et évalué leur sécurité. En bref? Les résultats ne sont pas bons. Les chercheurs ont testé la génération de mots de passe sur ChatGPT, Claude et Gemini et ont découvert que les mots de passe étaient « hautement prévisibles » et « pas vraiment aléatoires ». Claude, en particulier, ne s’en est pas bien sorti : sur 50 invites, le robot n’a pu générer que 23 mots de passe uniques. Claude a donné 10 fois le même mot de passe en réponse. The Register rapporte que les chercheurs ont trouvé des failles similaires dans les systèmes d’IA tels que GPT-5.2, Gemini 3 Flash, Gemini 3 Pro et même Nano Banana Pro. (Gemini 3 Pro a même averti que les mots de passe ne devaient pas être utilisés pour les « comptes sensibles ».)
Le fait est que ces résultats semblent bons en surface. Ils semblent indéchiffrables car ils sont un mélange de chiffres, de lettres et de caractères spéciaux, et les identifiants de force du mot de passe peuvent indiquer qu’ils sont sécurisés. Mais ces générations sont intrinsèquement imparfaites, que ce soit parce qu’il s’agit de résultats répétés ou parce qu’elles présentent un modèle reconnaissable. Les chercheurs ont évalué « l’entropie » de ces mots de passe, ou la mesure de l’imprévisibilité, à la fois avec des « statistiques de caractères » et des « probabilités de journalisation ». Si tout cela semble technique, la chose importante à noter est que les résultats ont montré des entropies de 27 bits et 20 bits, respectivement. Les tests de statistiques de caractères recherchent une entropie de 98 bits, tandis que les estimations de probabilités logarithmiques recherchent 120 bits. Vous n’avez pas besoin d’être un expert en entropie des mots de passe pour savoir qu’il s’agit d’une énorme lacune.
Les pirates peuvent utiliser ces limitations à leur avantage. Les mauvais acteurs peuvent exécuter les mêmes invites que les chercheurs (ou, vraisemblablement, les utilisateurs finaux) et collecter les résultats dans une banque de mots de passe communs. Si les chatbots répètent les mots de passe au fil des générations, il est logique que de nombreuses personnes utilisent les mêmes mots de passe générés par ces chatbots ou essaient des mots de passe qui suivent le même modèle. Si tel est le cas, les pirates pourraient simplement essayer ces mots de passe lors de tentatives d’effraction, et si vous utilisiez un LLM pour générer votre mot de passe, il pourrait correspondre. Il est difficile de dire quel est exactement ce risque, mais pour être véritablement sécurisé, chacun de vos mots de passe doit être totalement unique. Utiliser potentiellement un mot de passe que les pirates ont dans une banque de mots constitue un risque inutile.
Il peut sembler surprenant qu’un chatbot ne soit pas doué pour générer des mots de passe aléatoires, mais cela a du sens compte tenu de leur fonctionnement. Les LLM sont formés pour prédire le prochain jeton, ou point de données, qui devrait apparaître dans une séquence. Dans ce cas, le LLM essaie de choisir les personnages qui ont le plus de sens à apparaître ensuite, ce qui est le contraire du « aléatoire ». Si le LLM a des mots de passe dans ses données de formation, il peut les intégrer dans sa réponse. Le mot de passe qu’il génère a du sens dans son « esprit », car c’est sur cela qu’il a été formé. Il n’est pas programmé pour être aléatoire.
Ce n’est pas difficile de créer un mot de passe sécurisé
Pendant ce temps, les gestionnaires de mots de passe traditionnels ne sont pas des LLM. Au lieu de cela, ils sont conçus pour produire une séquence véritablement aléatoire, en prenant des bits cryptographiques et en les convertissant en caractères. Ces résultats ne sont pas basés sur des données de formation existantes et ne suivent aucun modèle, de sorte que les chances que quelqu’un d’autre ait le même mot de passe que vous (ou que des pirates informatiques le stockent dans une banque de mots) sont minces. Il existe de nombreuses options à utiliser, et la plupart des gestionnaires de mots de passe sont livrés avec des générateurs de mots de passe sécurisés.
Mais vous n’avez même pas besoin d’un de ces programmes pour créer un mot de passe sécurisé. Choisissez simplement deux ou trois mots « peu courants », mélangez quelques caractères et hop : vous disposez d’un mot de passe aléatoire, unique et sécurisé. Par exemple, vous pouvez prendre les mots « shall », « murk » et « tumble » et les combiner dans « sH@_llMurktUmbl_e ». (N’utilisez pas celui-là, car il n’est plus unique.)
Les mots de passe peuvent être encore plus sécurisés que les mots de passe
Si vous souhaitez renforcer encore davantage votre sécurité personnelle, envisagez les mots de passe autant que possible. Les clés d’accès combinent la commodité des mots de passe avec la sécurité du 2FA : avec les clés d’accès, votre appareil est votre mot de passe. Vous utilisez son authentification intégrée pour vous connecter (scan du visage, empreinte digitale ou code PIN), ce qui signifie qu’il n’y a pas de mot de passe à créer. Sans l’appareil de confiance, les pirates ne pourront pas accéder à votre compte.
Tous les comptes ne prennent pas en charge les mots de passe, ce qui signifie qu’ils ne constituent pas une solution universelle pour le moment. Vous aurez probablement besoin de mots de passe pour certains de vos comptes, ce qui signifie respecter les méthodes de sécurité appropriées pour garder les choses en ordre. Mais remplacer certains de vos mots de passe par des mots de passe peut être un progrès à la fois en matière de sécurité et de commodité, et évite les pièges de sécurité liés à la demande à ChatGPT de créer vos mots de passe pour vous.
