Attention : les mots de passe créés par l’IA pourraient faciliter le travail des hackers

Un mot de passe généré par une intelligence artificielle vous semble robuste ? C’est précisément là que réside le piège. Une étude publiée en février 2026 par le laboratoire de sécurité Irregular vient de démontrer, avec une rigueur méthodologique difficile à contester, que les grands modèles de langage, GPT, Claude, Gemini et leurs déclinaisons, produisent des mots de passe structurellement prévisibles, et que cette prévisibilité crée une nouvelle surface d’attaque à l’échelle de millions d’utilisateurs.

Le problème n’est pas anecdotique. Il est inscrit dans la nature même de ces modèles. Un grand modèle de langage (LLM) ne génère pas du hasard : il génère du plausible. Entraîné sur des corpus textuels colossaux, il apprend à produire des séquences qui ressemblent à ce que l’on attend. Lorsqu’on lui soumet la requête « génère-moi un mot de passe sécurisé », il ne cherche pas à maximiser l’imprévisibilité mathématique, il cherche à correspondre à une représentation moyenne de ce qu’est un bon mot de passe : une majuscule, quelques chiffres, un symbole. L’apparence de la sécurité, sans la substance.

🔴 Générer un mot de passe avec une IA peut sembler pratique, mais c’est une mauvaise idée : manque d’aléatoire, schémas prévisibles, risques de fuite et faux sentiment de sécurité.https://t.co/9qXZJ81kZX

— FrenchBreaches (@Frenchbreaches) March 21, 2026

L’illusion du hasard

Les résultats des tests menés par Irregular sont éloquents. Sur 50 générations consécutives, Claude Opus 4.6 produit des mots de passe qui commencent quasi systématiquement par une lettre majuscule, souvent un « G » suivi d’un « 7 ». Plus troublant encore : sur ces 50 tentatives, on ne dénombre en réalité que 30 mots de passe distincts, l’un d’entre eux apparaissant 18 fois. GPT-5.2 affiche lui aussi « de fortes régularités », avec une majorité de séquences débutant par un « v » suivi d’un « Q ». Gemini 3 Flash, de son côté, voit près de la moitié de ses sorties commencer par « K » ou « k ».

« Les LLM sont conçus pour prédire des jetons — l’inverse d’un échantillonnage sécurisé et uniforme de caractères aléatoires. »

Ce constat technique renvoie à une notion fondamentale en cryptographie : l’entropie, qui mesure le degré d’imprévisibilité d’une séquence. Les auteurs de l’étude rappellent qu’un mot de passe doté de seulement 20 bits d’entropie peut être cassé en quelques secondes, là où 100 bits d’entropie exigeraient « un nombre à trente et un chiffres d’essais — dont le déchiffrement nécessiterait des milliards d’années » en force brute. Or les LLM, en produisant des séquences plausibles plutôt qu’uniformément aléatoires, compriment mécaniquement cet espace des possibles. Ils fabriquent de l’entropie simulée.

L’étude pousse l’analyse plus loin en testant un changement de contexte. Avec un modèle sollicité via un prompt évoquant « un post-it collé à un écran, avec un mot de passe sécurisé écrit dessus », les mots de passe générés deviennent nettement plus simples. Le modèle, ayant assimilé dans ses données d’entraînement l’association entre post-it et mauvaises pratiques de sécurité, produit spontanément des combinaisons plus faibles. La représentation l’emporte sur la fonction. C’est une démonstration presque pédagogique des limites structurelles de ces outils.

Vous pensiez que l'IA générait des mots de passe ultra-sécurisés ? Faux. Sur 50 tentatives, Claude Opus a recraché 18 fois le même. Les LLM prédisent des mots, ils ne créent pas de hasard. Arrêtez de leur confier votre sécurité.
👉 https://t.co/BTUHG2tuoG pic.twitter.com/dWa0HdhSX5

— Cyberguerre (@Cyb3rguerre) March 21, 2026

Une standardisation dangereuse à l’échelle de masse

Ce qui relève encore de la curiosité technique pour un utilisateur isolé devient un risque systémique dès que l’on considère l’échelle. Des dizaines de millions de personnes utilisent aujourd’hui les mêmes modèles publics. Si une fraction significative d’entre elles délègue la génération de leurs mots de passe à ces outils, elle contribue mécaniquement à la construction d’un corpus de mots de passe homogène et prévisible. Les attaquants n’ont plus besoin de deviner : ils peuvent eux-mêmes interroger les mêmes modèles avec les mêmes prompts, constituer des dictionnaires d’attaque « style LLM » et cibler des millions de comptes avec une efficacité redoutable.

Il y a dans cette mécanique quelque chose d’ironique et d’inquiétant à la fois. On a cru confier la sécurité à la machine ; on lui a en réalité confié la standardisation de notre vulnérabilité. La promesse de l’IA générative, simplifier, automatiser, fiabiliser, se retourne ici contre l’utilisateur qui lui fait confiance sans en comprendre les contraintes fondamentales.

L’étude souligne par ailleurs un risque moins visible encore, lié au développement logiciel assisté par IA. À l’ère du « vibe coding », des agents d’intelligence artificielle utilisés pour configurer ou coder des services peuvent eux-mêmes générer des mots de passe via des LLM et les insérer directement dans des fichiers de configuration ou du code source, sans que le développeur ne les ait délibérément choisis ni même remarqués. Une fois déployés, ces mots de passe prévisibles peuvent se retrouver à protéger des bases de données entières. La faille n’est alors plus le fait d’une négligence humaine identifiable, mais d’un comportement implicite des modèles, invisible dans les audits classiques.

Face à ce constat, la solution n’a pas varié : recourir à un gestionnaire de mots de passe intégrant un générateur aléatoire cryptographiquement sécurisé, c’est-à-dire un outil conçu précisément pour ce que les LLM ne peuvent pas faire, produire de l’imprévisibilité réelle. La double authentification reste par ailleurs indispensable pour limiter l’exposition en cas de compromission. Ce sont des recommandations anciennes, robustes, éprouvées. Elles n’ont pas besoin d’être réinventées par une intelligence artificielle pour être efficaces.

La leçon de cette étude dépasse la seule question des mots de passe. Elle illustre un travers plus large de notre rapport collectif aux outils d’IA générative : la confusion entre apparence de compétence et compétence réelle. Un modèle de langage sait produire du texte qui ressemble à un mot de passe sécurisé. Il ne sait pas en générer un. Cette distinction, apparemment technique, est en réalité d’ordre culturel : elle suppose de comprendre ce qu’est un outil, à quoi il est adapté et ce qu’il ne peut structurellement pas accomplir. C’est précisément le genre de discernement que l’enthousiasme technologique ambiant tend à éroder.