Ceux qui génèrent leurs mots de passe avec l'IA ont tort : les experts les déchiffrent en moins d'une heure

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 30 avril 2025 à 13h24

À l'occasion de la Journée mondiale du mot de passe, une étude révèle que les mots de passe générés par ChatGPT, Llama ou DeepSeek présentent des failles critiques. Les cybercriminels peuvent les craquer en un temps record.

DeepSeek n'est pas le meilleur élève parmi les chatbots pour générer des mots de passe sécurisés. © Alexandre Boero / Clubic

L'info en 3 points

Une étude révèle que les mots de passe générés par l'IA, comme ChatGPT, ne sont pas aussi sécurisés qu'espéré.
Des chercheurs ont découvert que même si les IA suivent certaines règles de création, des patterns récurrents les rendent vulnérables aux attaques.
Ces faiblesses permettent aux hackers chevronnés d'exploiter ces mots de passe parfois en moins d'une heure.

La ruée vers l'IA pour sécuriser nos comptes en ligne pourrait bien être notre talon d'Achille. Une étude de Kaspersky publiée ce mercredi 30 avril démontre que les mots de passe générés par les grands modèles de langage comme ChatGPT présentent des schémas récurrents. Ils offrent aux cybercriminels presque sur un plateau une porte dérobée vers nos données personnelles. Entre fausse sécurité et vulnérabilités réelles, l'intelligence artificielle n'est pas la panacée espérée.

Les schémas répétitifs qui trahissent vos mots de passe IA

Alexey Antonov, chef de l'équipe Data Science chez Kaspersky, a mis les intelligences artificielles à l'épreuve en générant 1 000 mots de passe via ChatGPT, Llama et DeepSeek. Le résultat est sans appel : bien que ces systèmes connaissent les règles de création d'un bon mot de passe, soit un minimum de 12 caractères et un mélange de majuscules, minuscules, chiffres et symboles, ils échouent dans leur application.

« DeepSeek et Llama ont parfois généré des mots de passe composés de mots du dictionnaire, dans lesquels certaines lettres sont remplacées par des chiffres de forme similaire : S@d0w12, M@n@go3, B@n@n@7 (DeepSeek), K5yB0a8dS8, S1mP1eL1on (Llama) », explique Antonov. Plus inquiétant encore, ces deux modèles ont tendance à générer des variations du mot « password », comme par exemple « P@ssw0rd, P@ssw0rd!23 (DeepSeek), P@ssw0rd1, P@ssw0rdV (Llama) ».

ChatGPT évite le piège des mots du dictionnaire et génère des chaînes qui semblent aléatoires comme « qLUx@^9Wp#YZ » ou « LU#@^9WpYqxZ ». Mais en analysant attentivement ces créations, les experts ont découvert des motifs récurrents.

Le chiffre 9 apparaît systématiquement, tandis que certains symboles (x, p, l, L) sont surreprésentés, contredisant l'aspect aléatoire essentiel à un mot de passe en théorie sécurisé. Ce qui est préoccupant ici, c'est que 26% des mots de passe générés par ChatGPT ne contiennent ni caractère spécial ni chiffre, contre 32% pour Llama et 29% pour DeepSeek.

Des failles exploitées en moins d'une heure par les cybercriminels

Alexey Antonov a conçu un algorithme l'an dernier pour tester la robustesse des mots de passe. Après ses tests, le spécialiste en cybersécurité conclut que 60% des mots de passe standards peuvent être déchiffrés en moins d'une heure grâce aux processeurs graphiques modernes, ou aux outils basés sur le cloud que certains hackers peuvent aussi utiliser.

Fréquence des caractères utilisés par l'IA pour générer un mot de passe. © Kaspersky

DeepSeek et Llama ont également tendance à ignorer leurs propres règles, en générant parfois des mots de passe de moins de 12 caractères, bien en-deçà des standards de sécurité qu'ils préconisent eux-mêmes. En connaissant ces corrélations et ces faiblesses, les cybercriminels pourraient et peuvent accélérer considérablement leurs attaques par force brute, en ciblant d'abord les combinaisons les plus fréquentes.

Appliqué aux créations de l'IA, le constat n'est pas plus rassurant. 88% des mots de passe générés par DeepSeek et 87% par Llama sont vulnérables aux attaques sophistiquées. ChatGPT s'en sort mieux, mais 33 % de ses propositions restent compromises. « Le problème, c'est que les LLM ne génèrent rien véritablement au hasard. Ils imitent des modèles de données existantes, ce qui rend leurs résultats prévisibles pour les attaquants », commente Antonov.

La solution réside sans doute dans l'adoption de gestionnaires de mots de passe spécialisés. Ces outils utilisent des générateurs cryptographiquement sécurisés, qui garantissent l'aspect aléatoire, stockent vos informations dans un coffre-fort numérique protégé par un unique mot de passe maître, et offrent des fonctionnalités pratiques comme le remplissage automatique. À l'heure où les violations de données sont monnaie courante, chaque compte mérite un rempart infranchissable.

À découvrir

L'ANSSI dévoile comment la Russie vole des données sensibles à la France depuis des années !

29 avril 2025 à 16h34

News

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Cybersécurité

Logiciels & services

Actualités mots de passe / authentification

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Poster mon commentaire

Commentaires (10)

MisterDams

Mouais, au bout d’un moment l’aléatoire n’est jamais vraiment aléatoire sur un ordinateur, quelqu’en soit la technique. Reste qu’on peut pas dire que ce soit une faille béante, car encore faut-il savoir que le mot de passe a été généré par une IA, puis savoir laquelle pour exploiter ses mauvaises habitudes, puis trouver la bonne combinaison, le tout sans se faire choper par la sécurité de l’endroit où l’on peut tester.

Dans tous les cas, la recommandation resterait de modifier légèrement la proposition de l’IA, car sinon il y a « quelqu’un » qui connaît votre mot de passe en clair.

Hanandano

Qui est intéressé par l’étude ? #demerdetoi

C’est pas demain la journée mondiale du mot de passe ?

damned found it ! Creating a strong and easy-to-remember password | Kaspersky official blog

NB: pour ceux qui passent par là et qui vont s’énerver après le titre : " Ceux qui génèrent leurs mots de passe avec l’IA ont tort : les experts les déchiffrent en moins d’une heure"

Oui vous avez raison, le claim n’est pas : « les mots de passe généré avec IA peuvent être cracké en moins d’heure », en tout cas ce n’est pas présent dans l’article de blog de Kasperky.

Mais, plus inquiétant, la trouvaille d’Alexey Antonov de l’année dernière est qu’avec un matériel modeste (RTX 4090 ou une infra cloud peu couteuse) on peut cracker 59% des mots de passe en moins d’une heure. Hackers can crack 59% of passwords in an hour | Kaspersky official blog

Our study last year found that intelligent algorithms — whether running on a powerful graphics card like the RTX 4090 or on inexpensive leased cloud hardware — can crack 59% of all passwords in the world in under an hour.

Ils sont dans la phase 2 de cette étude démarré l’an passé. Hâte de lire la suite, sujet passionnant. Merci @AlexLex14

Aegis

C’est pour cela qu’on utilise des générateurs d’entropie et qu’on obtient du vrai aléatoire. Générateurs d’entropie communs:
Mouvements de souris
Frappe clavier
Activité disque
Activité réseau
Jitter de l’horloge
Température du processeur
Périphériques matériels
Instructions du processeur
Modules de sécurité matériels
Données de démarrage
Capteurs
Bruit électromagnétique
Interruptions système
Statistiques noyau
Délais mémoire

Aegis

« les règles de création d’un bon mot de passe, soit un minimum de 12 caractères et un mélange de majuscules, minuscules, chiffres et symboles »

Il est temps de tordre le coup à cette idée reçue. En forçant les utilisateurs à utiliser au moins une majuscule, minuscule, un chiffre et un caractère special, on baisse la force d’un bon mot mot de passe.

Pour comprendre pourquoi, il faut savoir que la force d’un mot de passe dépend de son entropie : est-il prévisible ou non. L’utilisation de certain characters ne change que sa représentation, et tout comme une même valeur peut être représentée en décimale, en binaire ou en hexa, un mot de passe avec une même entropie peut être représenté que par des chiffres, que par des lettres ou autre. Cela changera sa longueur.

Demander un mix de type de characters est une faute de logique : il est vrai qu’à longueur égale un mot de passe POUVANT utiliser plusieurs types est plus fort qu’un mot de passe utilisant un seul. Mais en déduire qu’un mot de passe DOIT avoir un mix pour être fort est faux :

cela enlève toutes les combinaisons sans mix, réduisant l’univers des possibilités. On sait par exemple qu’il n’y aura jamais de mot de passe uniquement avec des lettres ou uniquement avec des chiffres etc. Le pourcentage de combinaisons interdites est considérable : plus de la moitié des possibilités ne seront jamais utilisées.
c’est encore pire lorsque c’est un humain qui applique les règles. Dans la majorité des cas il ne va utiliser que certains characters spéciaux (!?.,), et utilisera des combinaisons prévisibles comme le chiffre suivit du character special a la fin.
Au final jusqu’à 80% des combinaisons ont été supprimées, facilitant considérablement le travail d’un attaquant.
Pour l’anecdote, on a la même diminution d’entropie en demandant à l’utilisateur de changer régulièrement de passe : il utilise des combinaisons de plus en plus simple.

A ce sujet, si Clubic pouvait arrêter de forcer le changement de mot de passe et la demande d’un mix de characters, ce serait bien

Mimi9

Une passphrase et tout est réglé

salvia34

mais qui a eu l’idée de générer des mots de passe par IA ?

Pernel

Quand tu vois qu’une majorité utilise encore et toujours les 000, 1234 etc, je trouve que c’est un bon début l’IA (même pas une bonne solution, c’est toujours mieux que 1234).

MattS32

Une majorité, faudrait peut-être pas exagérer quand même…

Pernel

C’est pas tout jeune, mais vu les rapports des différents organismes, ça n’a pas trop changé.

Hanandano

Y’a un petit biais non ? Si les données viennent de leak c’est qu’on est pas face aux données les mieux sécurisées non ?,Et donc probablement face à des outils qui ne force pas les utilisateurs à des mots de passe « complexes » ?