Des chercheurs ont testé ChatGPT, Claude et Gemini sur la génération de mots de passe. Sur 50 requêtes adressées à Claude, 23 mots de passe différents sont sortis, et la même chaîne de caractères est apparue dix fois.
La société de cybersécurité Irregular a publié ses résultats la semaine dernière, et ils sont mauvais pour les chatbots. Sur les trois modèles testés, aucun n'a été capable de produire des mots de passe comme votre gestionnaire habituel véritablement aléatoires. Claude s'en sort le plus mal : 50 requêtes identiques ont produit seulement 23 mots de passe différents, avec une même chaîne de caractères répétée dix fois. ChatGPT et Gemini ne font guère mieux, leurs mots de passe affichent des patterns reconnaissables d'une génération à l'autre. Or un mot de passe prévisible, c'est un mot de passe potentiellement déjà dans la liste d'un attaquant.
Un mot de passe qui a l'air solide, mais qui ne l'est pas
ChatGPT vous génère un mot de passe comme T7#mK9@xQp!, avec majuscules, chiffres, caractères spéciaux et longueur correcte. Les outils de vérification intégrés dans vos navigateurs ou dans la plupart des gestionnaires de mots de passe lui attribuent souvent une note excellente. Sauf que ces outils mesurent la forme, pas l'imprévisibilité réelle. Ils vérifient si vous avez mélangé les bons ingrédients, mais pas si le résultat échappe vraiment à toute prédiction.
Les chercheurs de la société Irregular ont évalué l'entropie des mots de passe produits par les principaux chatbots, autrement dit leur degré d'imprévisibilité réelle. Pour être considéré comme solide, un mot de passe doit atteindre environ 98 bits selon les statistiques de caractères, et 120 bits selon les estimations de probabilité logarithmique. Les mots de passe issus des chatbots testés affichaient respectivement 27 et 20 bits. La note affichée est bonne, mais l'entropie est catastrophique.
Un gestionnaire de mots de passe classique ne « génère » rien au sens créatif du terme. Il interroge le système d'exploitation pour obtenir des bits aléatoires cryptographiques, puis les convertit directement en caractères. Oui, le raisonnement a sa limite, et elle s'appelle chatbot.
Des millions de personnes avec le même mot de passe sans le savoir
Un LLM n'est pas conçu pour produire de l'aléatoire. Il est entraîné à prédire le token suivant le plus probable dans une séquence, ce qui est exactement l'inverse de ce qu'exige la génération d'un mot de passe sécurisé. Et cette question, des millions de personnes la posent aujourd'hui partout dans le monde : « Génère-moi un mot de passe sécurisé de 12 caractères ».
Si Claude a répondu dix fois la même chose sur 50 requêtes dans un test contrôlé, des dizaines de milliers d'utilisateurs pourraient partager sans le savoir le même mot de passe, ou des mots de passe construits sur un schéma identique. Pour un attaquant, c'est une économie considérable. Il pose les mêmes questions aux mêmes chatbots, collecte les réponses sur quelques centaines de requêtes, et alimente ses listes d'attaque par dictionnaire avec ce corpus. Aucune fuite de base de données ni outil perfectionné ne sont nécessaires.
Lors des tests, Gemini 3 Pro a lui-même averti que ses propres mots de passe ne devaient pas être utilisés pour des comptes sensibles. Un chatbot qui déconseille ses propres sorties, c'est suffisamment rare pour mériter d'être noté.
Mais pas de panique. Pour éviter d'avoir à demander l'impossible à une IA, vous avez encore deux options. La première, un gestionnaire de mots de passe avec générateur intégré — Bitwarden, 1Password ou Dashlane font très bien le job. La seconde, une méthode artisanale : trois mots rares, mélangés et bidouillés à la main, donnent un résultat que personne d'autre n'a. Et si votre service le propose, une passkey règle le problème à la racine, puisqu'il n'y a alors plus de mot de passe à créer ni à stocker.
Pour ceux qui ont déjà des mots de passe générés par un chatbot, ils figurent probablement dans une liste d'attaque quelque part en ce moment.
Source : Life Hacker, Malwarebytes Labs
