Les limites des mots de passe générés par l’intelligence artificielle

Alors que l’intelligence artificielle s’immisce de plus en plus dans notre quotidien, certains utilisateurs ont recours à ces technologies pour générer des mots de passe, pensant ainsi maximiser leur sécurité numérique. Cependant, une étude récente du laboratoire de sécurité Irregular révèle que cette pratique pourrait être plus risquée qu’il n’y paraît. En effet, les systèmes d’IA pourraient créer des mots de passe qui, bien que plausibles, manquent de véritable imprévisibilité, compromettant ainsi leur efficacité.

L’essentiel à retenir

• Les mots de passe générés par l’IA présentent des failles structurelles en raison de leur manque d’entropie.
• Les modèles de langage produisent des séquences prévisibles, facilitant les attaques à grande échelle.
• Pour une sécurité optimale, il est recommandé d’utiliser des gestionnaires de mots de passe cryptographiquement sécurisés et d’activer la double authentification.

Les failles des mots de passe générés par l’IA

Les mots de passe créés par les systèmes d’intelligence artificielle généralistes sont souvent vulnérables à cause de leur manque d’entropie. L’entropie est une mesure de l’imprévisibilité d’un mot de passe; plus elle est élevée, plus le mot de passe est difficile à deviner. Or, les modèles d’IA, tels que les grands modèles de langage (LLM), ne génèrent pas de hasard véritable, mais plutôt des suites de caractères qui semblent plausibles selon ce qu’ils ont appris.

Des séquences prévisibles et répétitives

Les recherches montrent que des motifs apparaissent dans les mots de passe générés par l’IA. Par exemple, l’étude d’Irregular a mis en évidence que, sur 50 essais, les mots de passe générés par Claude Opus 4.6 présentaient des débuts similaires, souvent un « G » majuscule suivi d’un « 7 ». Cette régularité compromet sérieusement la sécurité, car elle permet aux attaquants de deviner plus facilement les mots de passe par force brute.

Risques de standardisation et d’attaques à grande échelle

Le recours massif aux modèles d’IA pour générer des mots de passe pourrait conduire à une standardisation dangereuse. En utilisant les mêmes modèles publics, des millions d’utilisateurs créent des mots de passe similaires, exposant ainsi leurs comptes à des attaques à grande échelle. Les pirates peuvent facilement générer des listes de mots de passe « style LLM » en utilisant les mêmes prompts que ceux des utilisateurs.

Solutions pour une meilleure sécurité

Face à ces risques, il est conseillé de se tourner vers des solutions plus robustes. L’utilisation de gestionnaires de mots de passe intégrant des générateurs aléatoires et sécurisés cryptographiquement est fortement recommandée. Ces outils sont conçus pour produire des chaînes véritablement aléatoires et uniques, garantissant une meilleure protection des données. Par ailleurs, l’activation de la double authentification constitue une barrière supplémentaire contre les intrusions.

Contexte et concurrence dans le domaine de l’IA

Les géants de la technologie tels que OpenAI avec GPT, Google avec Gemini, et d’autres acteurs comme Claude, sont à l’avant-garde du développement des modèles de langage pour l’IA. Alors que ces outils se sont avérés révolutionnaires dans divers domaines, leur application pour générer des mots de passe soulève des questions de sécurité. Les modèles comme GPT-3 et GPT-4 ont été salués pour leur capacité à comprendre et à générer du texte de manière cohérente, mais leur utilisation pour des tâches nécessitant une sécurité élevée, comme la création de mots de passe, nécessite une évaluation prudente. Les concurrents dans ce domaine, tels que Microsoft avec Azure AI et IBM avec Watson, pourraient également être confrontés à des défis similaires en matière de sécurité et de protection des données.