Utiliser l'IA pour créer des mots de passe? Mauvaise idée!
Utiliser une intelligence artificielle comme ChatGPT, Llama ou DeepSeek pour générer des mots de passe est-il une bonne idée? Selon une étude de la compagnie de cybersécurité Kasperksy, on met à risque nos comptes si on le fait.
Gérer les mots de passe de nos comptes, ça peut être un calvaire...
On le répète sans cesse, il est impératif d'avoir des mots de passe forts et surtout diversifiés!
Cependant, ça peut être difficile que de générer ces fameux mots de passe et certains ont l'idée de se tourner vers des intelligences artificielles pour le faire pour eux.
Quelle mauvaise idée!
Mots de passe générés par l'IA: une fausse sécurité
L'entreprise de cybersécurité Kaspersky a lancé une mise en garde importante: se fier à l'intelligence artificielle pour générer des mots de passe est une erreur.
Une étude menée par l'entreprise révèle que les mots de passe créés par des modèles de langage avancés (LLM) comme ChatGPT, Llama de Meta et DeepSeek présentent des vulnérabilités critiques qui les rendent susceptibles d'être rapidement déchiffrés par des cybercriminels.
L'attrait des IA pour la création de mots de passe est compréhensible; ils semblent générer des chaînes aléatoires, évitant ainsi la tendance humaine à utiliser des mots du dictionnaire ou des informations personnelles prévisibles.
Cependant, cette apparence aléatoire est trompeuse.
Alexey Antonov, responsable de l'équipe Data Science chez Kaspersky, a mis à l'épreuve plusieurs intelligences artificielles en leur demandant de générer 1 000 mots de passe chacune.
Bien que ces systèmes soient conscients des règles de création d'un bon mot de passe (minimum de 12 caractères, mélange de majuscules, minuscules, chiffres et symboles), ils échouent à les mettre en œuvre.
Voici les principales faiblesses identifiées:
- DeepSeek et Llama génèrent parfois des mots du dictionnaire dont certaines lettres sont remplacées par des chiffres de forme similaire, comme "S@d0w12" ou "M@n@go3". Plus inquiétant, ces modèles ont aussi tendance à créer des variations du mot "password", telles que "P@ssw0rd" ou "P@ssw0rd!23".
- ChatGPT évite l'utilisation directe de mots du dictionnaire et génère des chaînes qui semblent aléatoires (par exemple, "qLUx@^9Wp#YZ"). Toutefois, une analyse attentive révèle des motifs récurrents, comme l'apparition systématique du chiffre 9 ou la surreprésentation de certains symboles et lettres (x, p, l, L). Ces schémas contredisent l'aspect aléatoire essentiel à la sécurité d'un mot de passe.
- Une proportion notable des mots de passe générés par l'IA manque de caractères spéciaux ou de chiffres. 26 % des mots de passe de ChatGPT étaient dans ce cas, contre 32 % pour Llama et 29 % pour DeepSeek.
- DeepSeek et Llama ont parfois généré des mots de passe de moins de 12 caractères, en deçà des standards de sécurité qu'ils connaissent pourtant.
Alexey Antonov explique que le problème fondamental est que les LLM ne créent rien de véritablement aléatoire. Ils imitent plutôt des modèles de données existants, ce qui rend leurs sorties prévisibles pour les attaquants qui comprennent leur fonctionnement.
Des mots de passe facilement compromis
La prévisibilité des mots de passe générés par l'IA permet aux cybercriminels d'accélérer considérablement leurs attaques par force brute. Bref, d'essayer systématiquement différentes combinaisons possibles de caractères jusqu'à trouver le mot de passe correct.
En connaissant les corrélations et les faiblesses typiques des différents modèles, ils peuvent cibler en priorité les combinaisons les plus fréquentes.
Les tests de Kaspersky ont montré que 88 % des mots de passe générés par DeepSeek et 87 % par Llama étaient vulnérables aux attaques sophistiquées.
Bien que ChatGPT s'en sorte mieux, 33 % de ses propositions ne sont pas jugées suffisamment robustes pour résister aux cybercriminels experts.
La solution: les gestionnaires de mots de passe spécialisés
Face à ces constatations, il est évident qu'on doit éviter de se fier à l'IA pour la génération de mots de passe.
La solution réside plutôt dans l'adoption d'un bon gestionnaire de mots de passe.
Ces outils spécialisés offrent plusieurs avantages clés:
- Ils utilisent des générateurs cryptographiquement sécurisés qui garantissent un caractère véritablement aléatoire et sans modèle détectable pour créer des mots de passe forts et uniques.
- Ils stockent toutes nos informations d'identification dans un coffre-fort numérique sécurisé, protégé par un seul mot de passe maître. Cela élimine le besoin de mémoriser des dizaines ou des centaines de mots de passe complexes.
- Ils proposent souvent des fonctionnalités pratiques, comme le remplissage automatique et la synchronisation entre appareils, simplifiant la connexion sans compromettre la sécurité.
- Certains incluent également une surveillance des violations de données pour vous alerter si vos informations d'identification apparaissent dans une fuite.