À l’heure où l’intelligence artificielle s’invite dans tous les aspects de notre quotidien, il est tentant de lui confier la création de nos mots de passe. Pourtant, cette pratique, en apparence moderne et pratique, cache des risques majeurs pour votre sécurité numérique. Loin d’être une forteresse imprenable, un mot de passe généré par une IA grand public comme ChatGPT peut s’avérer étonnamment prévisible et facile à pirater.
Le mot de passe semble l’étape fastidieuse par excellence : trop long, trop complexe, facile à oublier. Devant ce casse-tête, certains proposent désormais de déléguer la génération et la mémorisation à des robots conversationnels. Tentant, en apparence. Pourtant, intégrer l’IA dans cette chaîne ultracritique revient à placer un intrus entre vous et vos secrets numériques. Avant de suivre cette piste, observons comment fonctionne réellement une IA grand public, puis examinons pourquoi elle n’est pas conçue pour protéger un mot de passe et quels gestes simples offrent bien davantage de garanties.
Pourquoi l’IA ne comprend pas vraiment votre mot de passe
Les modèles de langage prédisent des mots, pas des intentions. Ils s’appuient sur des statistiques tirées de milliards de phrases publiques. Votre mot de passe, lui, doit rester privé et imprévisible. Lorsque vous demandez à un assistant de « proposer un mot de passe complexe », il peut certes combiner majuscules, minuscules, chiffres et symboles. Mais cette proposition naît d’un même modèle partagé par des millions d’utilisateurs. Autrement dit, la probabilité de collisions, deux personnes recevant des suggestions proches, augmente.
Surtout, la session de chat n’est pas un coffre-fort. Même si l’éditeur assure chiffrer les échanges, le texte transite hors de votre terminal, est traité sur des serveurs tiers, puis stocké pour l’amélioration continue de l’algorithme. Dès lors, votre mot de passe quitte votre sphère de contrôle. En cas de fuite de base de données, l’historique pourrait réapparaître tel quel, exposant vos identifiants.
Ajoutons que l’IA ignore le contexte de sécurité de chaque service. Certains sites interdisent les caractères spéciaux, d’autres imposent une longueur maximale. L’assistant propose alors un résultat « idéal » qui sera peut-être refusé par la plateforme cible. Vous devrez modifier manuellement la chaîne, affaiblissant la rigueur initiale.
Enfin, le modèle n’a pas de mémoire persistante dédiée à vos usages seuls. À chaque nouvelle demande, il repart d’un état neutre, sans vérifier si la suggestion ressemble à celles publiées ailleurs. Vous risquez de réutiliser un schéma semblable sans le savoir.
Des risques bien réels, ici et maintenant
Premier danger : la fuite involontaire. Un mot de passe saisi ou copié dans la zone de chat reste parfois dans le presse-papiers partagé du navigateur, accessible par d’autres extensions. Dans les environnements professionnels, ces journaux peuvent être audités pour des raisons de conformité : votre secret devient alors visible par l’équipe IT.
Sans surprise, la génération d’un mot de passe déjà compromis est également une éventualité. Les bases de données de fuites publiques dépassent les 30 milliards d’enregistrements.
Le Règlement général sur la protection des données (RGPD) impose de minimiser les transferts d’informations personnelles. Un mot de passe constitue une donnée ultrasensible. Le transmettre à un service hors UE ou à un modèle entraîné outre-Atlantique vous place dans une zone grise juridique.
N'oublions pas facteur humain. Plus l’outil paraît magique, plus on baisse la garde. Certains enregistrent les suggestions dans un simple fichier texte, oubliant le chiffrement du disque. C'était d'ailleurs le cas de l'application Mac de ChatGPT dans sa première itération. D’autres utilisent un identifiant racine commun « IA-2025 » pour tous leurs comptes tests. Ces mauvaises habitudes naissent de la promesse trompeuse d’une automatisation totale.
Comment sécuriser votre mot de passe sans intelligence artificielle
Premièrement, adoptez un gestionnaire de mots de passe dédié, open source si possible, qui chiffre les données localement avant toute synchronisation. Vous seul possédez la clé maître, même en cas de piratage du serveur, le contenu reste indéchiffrable. Activez ensuite l’authentification à deux facteurs partout où elle existe. Un code unique, reçu sur une application d'authentification hors ligne ou via une clé physique FIDO2, vient compléter le mot de passe. Ainsi, même si ce dernier fuit, l’accès demeure bloqué.
Créez vos propres pass-phrases ! Une séquence de quatre mots choisis aléatoirement dans un dictionnaire de 2000 termes offre une entropie supérieure à 51 bits, suffisante pour déjouer le bruteforce commercial. Pour les retenir, imaginez une micro-histoire visuelle : la mémoire humaine excelle dans la narration. Pensez aussi à segmentez les usages. Un mot de passe pour les réseaux sociaux, un autre pour le travail, un troisième pour les services financiers. Vous limitez ainsi la casse lors d’une brèche. Mettez à jour votre trousseau chaque année et après tout incident de sécurité public. De nombreux gestionnaires vérifient automatiquement si vos identifiants apparaissent dans les bases « Have I Been Pwned ».
L’IA excelle à rédiger, traduire, compter, mais elle n’est pas conçue pour conserver ni protéger un mot de passe. En transférant ce rôle fondamental à une boîte noire distante, vous multipliez les points de défaillance tout en perdant la traçabilité. La bonne stratégie repose encore sur des outils éprouvés : gestionnaire chiffré, authentification forte, rotation régulière et vigilance personnelle. En matière de mot de passe, la prudence n’est jamais de trop et l’intelligence, avant d’être artificielle, doit rester la vôtre.
