Ces sésames générés par l'intelligence artificielle sont-ils vraiment aléatoires ? Des études indiquent que ces combinaisons ainsi créées sont bien moins sûres qu'on pourrait le croire.
La dernière chose que vous souhaitez, c’est que votre mot de passe soit prévisible.
Heureusement, la plupart d’entre nous n’utilisent plus les expressions et chaînes de caractères qui étaient autrefois courantes, comme « QWERTY » ou « Password1 ». De nombreux services en ligne exigent désormais que les utilisateurs utilisent des combinaisons complexes de lettres, de chiffres et de symboles, et peuvent même vérifier s’il y a eu des fuites de données ou des fuites de bases de données pour s’assurer que vous ne réutilisez pas le même mot de passe sur plusieurs services.
Trouver ces combinaisons peut s’avérer fastidieux et chronophage, et il peut sembler judicieux et sûr de demander à des chatbots et modèles d’IA populaires, tels que Claude, ChatGPT et Gemini, de les générer pour vous, mais de nouvelles recherches sur le véritable caractère « aléatoire » de leurs réponses remettent cela en question.
Selon une étude menée en début d’année par Irregular, les chatbots IA populaires tels que Claude, ChatGPT et Gemini ont tendance à produire des mots de passe qui ne sont pas véritablement aléatoires.
Après avoir testé ces modèles à l’aide de 50 demandes de génération de mots de passe, les chercheurs ont constaté des « schémas perceptibles » indiquant que les mots de passe ne répondaient pas à la définition d’identifiants véritablement aléatoires et sécurisés.
Par exemple, lors des tests effectués sur Claude, les chercheurs ont constaté que chaque mot de passe commençait par une lettre et était généralement suivi du chiffre 7. Les mêmes lettres et chiffres étaient souvent utilisés dans chaque requête, aucun caractère n’était répété (car cela va à l’encontre du format de sortie privilégié par l’IA), et certaines lettres de l’alphabet, ainsi que certains symboles, n’apparaissaient jamais.
Au total, l’équipe indique que, dans ce seul cas, seuls 30 mots de passe « uniques » ont été générés à partir de 50 invites. L’un des mots de passe, G7$kL9#mQ2&xP4!w, était suffisamment répété pour qu’il y ait 36 % de probabilité qu’il apparaisse dans l’ensemble de données.
Il est important de noter que la consigne « veuillez générer un mot de passe » a été utilisée dans le cadre de cette étude et que l’affiner pourrait donner de meilleurs résultats. Cependant, l’utilisateur moyen d’un chatbot IA ne formulerait probablement pas de consignes sophistiquées pour ce type de tâches, d’autant plus qu’il existe de meilleures solutions, telles que les gestionnaires de mots de passe et les clés d’accès.
Cette combinaison « G7$kL9#mQ2&xP4!w » semble sûr, n’est-ce pas ? Mais les données issues du test révèlent une toute autre réalité.
Il y a une grande différence entre ce qui « semble » sûr et ce qui « est » sûr. Les générateurs de mots de passe forts s’appuient sur des générateurs de nombres pseudo-aléatoires cryptographiquement sûrs (Cryptographically Secure Pseudorandom Number Generators ou CSPRNG), des algorithmes qui génèrent des chiffres et des lettres imprévisibles, sans aucun schéma ni aucune prévisibilité.
Comme le souligne Malwarebytes, les cyberattaquants recourent aujourd’hui souvent à des attaques par dictionnaire : des tentatives de piratage automatisées basées sur des listes de mots de passe couramment utilisés. Il suffirait de peu pour ajouter quelques milliers de combinaisons supplémentaires générées par l’IA, ce qui réduirait encore davantage leur sécurité.
La prévisibilité et la probabilité constituent le cœur du problème. De par sa conception, l’IA est censée identifier des schémas, anticiper les prochaines étapes d’une tâche et faire appel à la logique. Ces bots se trompent souvent, et même s’ils vous indiquent qu’un mot de passe est fort et unique, nous ne devrions pas miser la sécurité de notre compte sur les affirmations de l’IA.
Je recommande d’utiliser un gestionnaire de mots de passe pour gérer la complexité liée à la génération d’identifiants forts et complexes pour vos comptes en ligne. Si vous choisissez le bon service, vous n’aurez plus à vous soucier de mémoriser des dizaines de lettres, de chiffres et de symboles : vos mots de passe sont stockés en toute sécurité pour vous, et vous n’aurez peut-être même besoin que d’une empreinte digitale ou d’un seul mot de passe pour accéder à votre coffre-fort.
À tout le moins, utilisez un générateur de mots de passe qui vous permet de générer de longues chaînes de caractères comprenant des lettres minuscules et majuscules, des chiffres et des symboles. Idéalement, il devrait également comporter un indicateur vous visualisant la force d’un mot de passe généré.
Il faut garder à l’esprit que l’IA repose sur de grands modèles linguistiques entraînés à reconnaître et à adopter des schémas. Il ne s’agit pas de solutions de sécurité autonomes et infaillibles, et on ne peut pas compter sur elles pour fournir systématiquement des résultats corrects. Cela vaut également pour les mots de passe prétendument aléatoires.
A Alixan, près de Valence, la justice a imposé la suspension du projet de datacenter porté par la société Sesterce suite à un recours en référé d'un collectif d'associations contestant le projet.
Porté par la forte demande en semi-conducteurs destinés à l’intelligence artificielle, le géant néerlandais de la photolithographie ASML a publié des résultats trimestriels supérieurs aux attentes.
Alors que la course aux modèles les plus puissants s’intensifie entre laboratoires américains, chinois et désormais coréens, la question de leur évaluation avant mise sur le marché reste largement improvisée.
La Commission européenne vient de présenter son plan d’action, un document de quinze pages qui liste ses bonnes intentions.
Tous les nouveaux modèles ne sont pas forcément à la hauteur de leur réputation. Notre outil de suivi compare chaque nouveauté à ses concurrents, pour que vous sachiez quels modèles méritent votre attention.
Vous avez besoin d'aide en matière d'IA dans Microsoft 365, mais Copilot ne vous convainc pas ? Claude AI peut vous aider à créer, modifier et analyser des documents. Voici comment.
NordVPN estime que la notion d'antivirus a aujourd'hui une portée bien plus large qu'auparavant. Explications.
Économisez votre argent, préservez votre vie privée et protégez la planète. Cette IA à installer offre plusieurs avantages que vous ne trouverez pas avec des modèles plus traditionnels comme ChatGPT.
Cette forme d’hameçonnage par QR code se développe en prenant différentes formes. Voici comment les repérer et éviter d'en être victime.
Les comptes de spam ont submergé ma base de données. Claude a identifié les failles, Codex a rédigé les correctifs et j'ai mis en place un nouveau système de défense. Bien sur je vous raconte.
Un éminent expert affirme que l’ingénieur déployé sur le terrain (Forward Deployed Engineer) a un potentiel moindre que l’ingénieur en intelligence artificielle. A-t-il raison ?
Voici ce que ce passage à l'IA implique pour le processus de recrutement, et comment vous pouvez vous assurer que votre candidature se démarque des autres.






