N’utilisez PAS de mots de passe générés par l’IA, avertissent les experts en sécurité

La faille fatale des mots de passe générés par l’IA

La raison en est simple : tous les modèles d’IA basés sur LLM fonctionnent fondamentalement sur des probabilités. De la même manière que le texte et les images générés par l’IA sont créés via des fonctions basées sur les probabilités, les mots de passe générés par l’IA sont aussi basée sur les probabilités. En d’autres termes, ces mots de passe sont créés à partir de données basées sur des mots de passe déjà connus et formulés pour trouver des mots de passe « probablement sécurisés ».

En tant que tels, les mots de passe générés par l’IA sont tout sauf aléatoires. Les experts ont remarqué que les IA ont tendance à placer certains caractères et chaînes dans les mêmes positions (c’est-à-dire prévisibles). Comme si cela ne suffisait pas, les mots de passe commençaient souvent par des caractères et des chaînes similaires, et présentaient généralement peu de variations dans les chiffres ou les lettres choisis.

Quelques exemples tirés du rapport :

• Tous les mots de passe générés commençaient par une lettre, généralement en majuscule. La lettre G est apparu particulièrement fréquemment.
• Les personnages L, 9, m, 2, $et # apparaissait dans tous les mots de passe générés, alors que certaines lettres n’étaient jamais utilisées.
• Aucun des mots de passe ne contenait de caractères en double, ce qui devrait se produire à un moment donné avec une sélection véritablement aléatoire. Les IA ont supposé que les mots de passe ne seraient pas « assez aléatoires » autrement.
• Certains mots de passe étaient répétés, ce qui signifie que seuls 30 des 50 mots de passe générés étaient véritablement nouveaux.
• Le mot de passe le plus courant était G7$kL9#mQ2&xP4!wqui a été généré 18 fois au total.

La conclusion ? Non seulement les chatbots IA sont incapables de générer des mots de passe aléatoires, mais les mots de passe qu’ils génèrent sont gravement vulnérables. Les mots de passe générés par l’IA ne sont même pas suffisamment sécurisés pour résister à une simple attaque par force brute. Ces problèmes étaient présents dans tous les modèles d’IA examinés, notamment ChatGPT, Gemini et Claude.

Les risques et les conséquences sont réels

Selon les experts en sécurité, l’idée de créer des mots de passe à l’aide de chatbots IA a déjà des conséquences concrètes. Ils ont pu découvrir certains des modèles repérés dans les mots de passe IA dans le code open source sur des plateformes de développement telles que GitHub.

Ces modèles facilement reconnaissables posent un risque sérieux pour la sécurité. Les pirates pourraient les exploiter pour lancer des attaques ciblées sur les applications. Mais ce ne sont pas seulement les développeurs qui courent un risque, mais aussi les utilisateurs du monde réel qui décident de créer leurs mots de passe à l’aide de chatbots IA.

Les experts déconseillent cette pratique, mettant en garde contre les dangers d’une trop grande confiance dans l’IA. Certains chatbots (comme Gemini) affichent désormais également des avertissements indiquant que vous ne devez pas utiliser les mots de passe générés à l’aide de l’IA, en partie parce qu’ils sont traités via des serveurs.

Les plats à emporter : Vous ne pouvez créer des mots de passe véritablement sécurisés qu’à l’aide de véritables générateurs de mots de passe aléatoires. Ceux-ci sont souvent déjà intégrés dans les gestionnaires de mots de passe. Commencez avec l’une de nos sélections des meilleurs gestionnaires de mots de passe pour vous assurer que vos mots de passe sont en sécurité.