● Numerama 📅 21/03/2026 à 18:22

Data Science 👤 Lisa Imperatrice

🏷️ Tags : llm anthropic cert chatgpt gemini openai pto rag rte

Lecture Zen Résumer l'article Une étude d’Irregular (février 2026) montre que les mots de passe générés par IA manquent d’entropie, car les LLM ne produisent pas de hasard mais du « plausible ». Des tests sur GPT, Claude et Gemini mettent en évidence des motifs récurrents et des doublons, révélant une prévisibilité structurelle des sorties. Cette standardisation ouvre une surface d’attaque à grande échelle, les attaquants pouvant forger des listes de mots de passe « style LLM » à partir des mêmes prompts. Une étude d’Irregular (février 2026) montre que les mots de passe générés par IA manquent d’entropie, car les LLM ne produisent pas de hasard mais du « plausible ». Des tests sur GPT, Claude et Gemini mettent en évidence des motifs récurrents et des doublons, révélant une prévisibilité structurelle des sorties. Cette standardisation ouvre une surface d’attaque à grande échelle, les attaquants pouvant forger des listes de mots de passe « style LLM » à partir des mêmes prompts. Recevez tous les soirs un résumé de l’actu importante avec Le Récap’ Et si votre mot de passe aléatoire « généré par IA » était en réalité plus prévisible que vous ne le pensez ? Derrière des chaînes en apparence complexes, les modèles reproduisent des schémas récurrents et manquent d’un ingrédient clé : le hasard. Résultat, une nouvelle surface d’attaque à grande échelle. Si l’intelligence artificielle s’est invitée dans votre quotidien, vous avez peut‑être déjà eu ce réflexe : lui demander de générer un mot de passe. Après tout, difficile de faire pire que le nom de votre premier animal de compagnie. Et face au manque d’inspiration, l’IA semble offrir une solution simple, rapide… et a priori plus fiable. En réalité, c’est tout l’inverse, souligne cette étude du laboratoire de sécurité Irregular publiée en février 2026. Pourquoi générer son mot de passe avec une IA est une mauvaise idée Les mots de passe issus des systèmes d’IA généralistes introduisent une nouvelle catégorie de failles. Elles sont à la fois mathématiques (motifs anticipables et entropie insuffisante, c’est-à-dire l’imprévisibilité du mot de passe) et systémiques (centralisation, logs, réutilisation des sorties). Le problème est structurel : un grand modèle de langage (LLM) ne génère pas de hasard. Il produit du texte plausible, autrement dit des séquences qui ressemblent à ce qu’il a appris. Quand on lui demande de générer « un mot de passe sécurisé », il ne cherche pas à maximiser l’imprévisibilité. Il tente de coller à une idée moyenne de ce qu’est un bon mot de passe : une majuscule, quelques chiffres, un symbole. Irregular a demandé à Claude Opus 4.6 de générer un mot de passe. // Source : Irregular Or, en sécurité, tout repose sur l’entropie. Celle-ci mesure le nombre de possibilités — donc la difficulté à deviner un mot de passe. Plus elle est élevée, plus le nombre de combinaisons explose. Et c’est précisément là que les IA échouent : elles produisent des chaînes plausibles, mais pas uniformément aléatoires. « Les LLM sont conçus pour prédire des jetons — l’inverse d’un échantillonnage sécurisé et uniforme de caractères aléatoires », rappelle l’étude d’Irregular. Faux SMS, mails frauduleux… Ne tombez plus dans le piège ! Gardez toujours une longueur d’avance sur les fraudeurs. Bitdefender Scam Protection analyse, détecte et neutralise instantanément les escroqueries qui visent votre argent. Une protection invisible mais redoutable, intégrée à Bitdefender Premium Security. Sponsorisé Je me protège contre les arnaques. Pour donner un ordre de grandeur, les auteurs citent deux extrêmes : « un mot de passe avec seulement 20 bits d’entropie nécessiterait environ 2²⁰ essais, soit approximativement un million d’essais — ce qui peut se faire en quelques secondes. ». À l’inverse, un mot de passe avec 100 bits d’entropie correspond à « 2¹⁰⁰ essais — un nombre à 31 chiffres, dont le déchiffrement exigerait des milliards d’années. » en force brute. Des mots de passe loin d’être aléatoires Pour vérifier concrètement, Irregular a testé plusieurs modèles récents, dont GPT, Claude et Gemini. Sur le papier, certains résultats semblent solides : le premier mot de passe généré par Claude Opus 4.6 atteint par exemple environ 100 bits d’entropie. Mais dès que l’on répète l’expérience, les motifs apparaissent. Sur 50 générations, tous les mots de passe commencent par une lettre, souvent un « G » majuscule suivi d’un 7. Aucun caractère ne se répète — un comportement très improbable dans un tirage réellement aléatoire. Pire : des duplications complètes apparaissent. « Même des mots de passe entiers se répètent : parmi les 50 tentatives ci‑dessus, on ne compte en réalité que 30 mots de passe uniques », dont un répété 18 fois. Même constat ailleurs. GPT‑5.2 produit lui aussi des séquences avec « de fortes régularités » : une large majorité commence par un « v », souvent suivi d’un « Q ». Du côté de Google, Gemini 3 Pro ajoute un « avertissement de sécurité » — non pas à cause de la qualité du mot de passe, mais… parce que la génération transite par des serveurs. Gemini 3 Flash, lui, retombe dans les mêmes travers : près de la moitié des mots de passe commencent par « K » ou « k », suivis de « # », « P » ou « 9 ». 50 mots de passe générés par Claude Opus 4.6 // Source : Irregular Même en changeant de contexte, le problème persiste. Avec Nano Banana Pro, Irregular utilise un prompt du type « un post-it collé à un écran, avec un mot de passe sécurisé écrit dessus ». Résultat : les mots de passe générés deviennent nettement plus simples. Le modèle tend alors à privilégier des combinaisons « faciles », comme s’il associait spontanément les post-it visibles à de mauvaises pratiques de sécurité. Le danger dépasse la simple faiblesse individuelle. Si des millions d’utilisateurs s’appuient sur les mêmes modèles publics, ils produisent des mots de passe qui se ressemblent. On passe alors à une standardisation prévisible — un terrain idéal pour des attaques à grande échelle. Les attaquants peuvent générer leurs propres listes de mots de passe « style LLM » à partir des mêmes prompts, exactement comme les listes de mots de passe les plus courants… mais adaptées aux sorties des modèles. Par ailleurs, à l’ère du vibe coding, l’étude souligne que certains agents d’IA utilisés pour coder ou configurer des services peuvent eux-mêmes générer des mots de passe via des LLM. Ces derniers peuvent alors être introduits directement dans le code ou les fichiers de configuration, sans que le développeur ne les ait choisis — ni même remarqués. Une fois ce code déployé, ces mots de passe prévisibles peuvent se retrouver à protéger des bases de données ou des services entiers. À la clé : des failles difficiles à repérer, car elles ne résultent pas d’une « erreur humaine » classique, mais du comportement implicite des modèles et de leurs agents. Quoi qu’il en soit, la solution, elle, ne change pas : utiliser un gestionnaire de mots de passe intégrant un générateur aléatoire cryptographiquement sécurisé. Contrairement aux IA généralistes, ces outils sont conçus pour produire des chaînes réellement imprévisibles et uniques. Et pour limiter les dégâts en cas de fuite, activer la double authentification reste indispensable. Pour aller plus loin « Ce n’est pas assez sécurisé » et autres idées reçues sur les gestionnaires de mots de passe Quel est le meilleur Gestionnaire de mots de passe ? Quel gestionnaire de mots de passe est le meilleur en 2026 ? Le comparatif complet Retrouvez nos tests complets Toute l'actu tech en un clin d'œil Ajoutez Numerama à votre écran d'accueil et restez connectés au futur ! Installer Numerama Pour ne rien manquer de l’actualité, suivez Numerama sur Google ! Toutes les infos sur ChatGPT Pourquoi générer son mot de passe avec l’IA est une très mauvaise idée J’ai demandé à Gemini de relire mon article, il a voulu inventer une fausse interview « Alerte rouge » chez OpenAI : Sam Altman sacrifie ses projets annexes pour sauver ChatGPT Pas de porno mais de l’érotisme : ce que l’on sait du futur « mode adulte » de ChatGPT Il refuse de voir son chien mourir : l’incroyable récit d’un maître qui a créé son propre vaccin avec l’IA Crédit photo de la une : Numerama / Anthropic / OpenAI Signaler une erreur dans le texte Ne plus voir cette pub Ne plus voir cette pub 1Password Anthropic Claude Intelligence artificielle Cyberguerre

🔗 Lire l'article original 👁️ 3 lectures