Les mots de passe générés par les intelligences artificielles (IA) comme ChatGPT, Claude et Gemini, bien que semblant complexes, sont en réalité vulnérables et pourraient être craqués en quelques heures seulement, selon une récente étude de la société de sécurité Irregular. Cette faille de conception fondamentale incite les experts à mettre en garde contre l’utilisation de ces outils pour créer des identifiants sécurisés.
L’analyse d’Irregular, portant sur Claude, ChatGPT et Gemini, a révélé que les mots de passe générés par ces IA ne sont pas aussi aléatoires qu’ils le paraissent. Bien que capables de produire des combinaisons de 16 caractères incluant des lettres, des chiffres et des symboles, ces mots de passe présentent des schémas reconnaissables qui facilitent leur déchiffrement.
L’étude a notamment constaté que sur 50 mots de passe demandés à Claude, seulement 30 étaient uniques, certains présentant des répétitions identiques. De nombreux mots de passe commençaient et se terminaient de la même manière, et les caractères récurrents étaient prévisibles, indiquant une génération systématique plutôt qu’aléatoire. Des anomalies similaires ont été observées avec GPT-5.2 d’OpenAI, Google Gemini 3 Flash et même des « mots de passe d’ordinateur portable » générés par un modèle d’image.
Irregular a évalué l’entropie – une mesure du désordre dans un système – des mots de passe générés par les LLM (Large Language Models) et a constaté qu’elle s’élevait à environ 27 ou 20 bits pour des mots de passe de 16 caractères. Or, un mot de passe véritablement aléatoire de même longueur devrait avoir une entropie comprise entre 98 et 120 bits. Cette différence significative rend les mots de passe générés par l’IA beaucoup plus faciles à casser.
Selon les estimations d’Irregular, un pirate informatique pourrait déchiffrer ces mots de passe par force brute en quelques heures, même avec du matériel informatique ancien. De plus, les schémas caractéristiques des mots de passe générés par les LLM pourraient permettre d’identifier les endroits où ils ont été utilisés, par exemple dans des projets open source.
Face à ces risques, Irregular recommande de ne pas utiliser les IA pour générer des mots de passe, de remplacer les mots de passe déjà créés par ces outils et d’anticiper des failles similaires dans d’autres domaines de la sécurité où l’IA est utilisée dans le développement.