Pourquoi il ne faut pas utiliser ChatGPT pour vous trouver un mot de passe

Diversifier ses mots de passe. C'est l'une des bonnes pratiques à adopter pour sécuriser ses comptes en ligne. Mais il peut être difficile de trouver un mot de passe différent pour chacun de ses comptes. Certains internautes sont ainsi tentés d'utiliser l'intelligence artificielle pour générer des mots uniques et aléatoires.

Ces derniers ne sont cependant pas aussi sécurisés qu'ils en ont l'air, met en garde l'entreprise de cybersécurité Kaspersky, dans une étude publiée à l'occasion de la journée mondiale du mot de passe, ce jeudi 1er mai.

Car même si ChatGPT, Deepseek ou encore Llama de Meta savent qu'un bon mot de passe comprend au moins 12 caractères, ils ont tendance à adopter de mauvaises pratiques.

Mots du dictionnaire, symboles qui reviennent régulièrement...

Kaspersky a fait cette découverte en générant 1.000 mots de passe avec les chatbots d'OpenAI, Deepseek et Meta, mais aussi ceux d'autres entreprises. Parmi eux, Llama et Deepseek ont généré des mots de passe qui n'étaient pas assez sécurisés, car ils étaient composés de mots du dictionnaire, mais dont des lettres avaient été remplacées par des chiffres de forme similaire ("P@ssw0rd", "S1mP1eL1on"...). Une pratique qui est d'ailleurs adoptée par plusieurs internautes.

"L'astuce consistant à substituer des lettres est connue et n'est pas difficile à détourner", rappelle Kaspersky, précisant néanmoins que ChatGPT ne se livre pas à cette pratique.

Si au premier abord, le chatbot d'OpenAI fait figure de bonne élève, il est loin de l'être. Il a en effet généré des mots de passe se rapprochant des mots de passe aléatoires, mais l'entreprise a observé "des schémas qui se répètent". ChatGPT a par exemple tendance à inclure "très régulièrement" le chiffre 9 dans ces derniers. Il figure dans près de 800 des 1.000 mots de passe générés par le robot conversationnel d'OpenAI. Le symbole x apparaît, lui, dans chacun d'entre eux.

Un problème qui "contredit l'aspect aléatoire des mots de passe ainsi générés", indique Kaspersky. Deepseek et Lllama sont aussi concernés, mettant en avant certaines lettres plus que d'autres. "Le générateur de mots de passe aléatoire idéal ne favoriserait aucune lettre plutôt qu'une autre, et tous les symboles apparaîtraient à peu près le même nombre de fois", précise l'entreprise.

Des mots de passe qui peuvent être déchiffrés rapidement

Autre problème: les chatbots peuvent oublier d'inclure un caractère spécial ou des chiffres dans les mots de passe. Tel était le cas pour 26% de ceux générés par ChatGPT 32% par Llama et 29% par Deepseek. Ces deux derniers ont également parfois créé des mots de passe de moins de 12 caractères, a constaté Kaspersky.

Autant de raisons pour lesquelles les mots de passe générés par IA ne font pas le poids face aux cybercriminels, avance la société. Chef de l'équipe Data Science au sein de celle-ci, Alexey Antonov a développé un algorithme d'apprentissage automatique afin de tester leur solidité.

D'après celui-ci, 88% de ceux générés par Deepseek peuvent être déchiffrés en moins d'une heure avec une "attaque sophistiquée". Un chiffre qui passe à 87% pour ceux créés par Llama et tombe à 33% pour ceux générés par ChatGPT. De l'autre côté, près de 60% des mots de passe créés par les humains peuvent être déchiffrés en moins d'une heure avec des outils de déchiffrement basés sur le cloud ou de processeurs graphiques modernes.

"Le problème, c'est que les LLM (larges modèles de langage, NDLR) ne génèrent rien véritablement au hasard. Ils imitent des modèles de données existantes, ce qui rend leurs résultats prévisibles pour les attaquants qui comprennent comment ces modèles fonctionnent", a expliqué Alexey Antonov.

Kaspersky conseille ainsi, comme d'autres, d'utiliser un gestionnaire de mots de passe pour sécuriser ses comptes en ligne au lieu de compter sur l'IA.