Une étude récente vient confirmer ce que beaucoup soupçonnaient déjà : l’intelligence artificielle génère des mots de passe fragiles sur le plan structurel, marqués par des schémas répétitifs et faciles à anticiper. Un danger qui concerne aussi bien les internautes lambda que les développeurs séduits par la tendance du vibe coding.
Intuitive à l’ère des chatbots, la pratique consistant à solliciter un grand modèle de langage (LLM) pour générer un mot de passe est pourtant fondamentalement risquée. C’est ce que révèle une étude publiée le 18 février par le laboratoire de sécurité Irregular.
Fondée sur des représentations graphiques, des données statistiques et des comparaisons entre plusieurs modèles avancés, l’étude intitulée « Vibe Password Generation: Predictable by Design » aboutit à une conclusion claire : les mots de passe produits directement par des LLM « paraissent solides, mais sont intrinsèquement vulnérables ».
Les chercheurs y identifient trois faiblesses majeures : la présence de schémas prévisibles dans la structure des caractères, la réutilisation de séquences identiques entre différents utilisateurs et une résistance réelle bien inférieure à l’apparente complexité des chaînes proposées.
Pourquoi l’IA échoue à produire du hasard
L’étude distingue deux modes de génération souvent confondus : d’une part, la création directe par le modèle ; d’autre part, la génération via un agent qui s’appuie sur un outil externe spécialisé dans la production d’aléatoire. Seule cette dernière méthode est considérée comme fiable.
« C’est une clause clé », souligne Gibson, expert en cybersécurité et animateur de l’émission Security Now sur la chaîne YouTube TWiT Tech Podcast Network. En clair : demander à Claude d’aller récupérer un mot de passe via un générateur cryptographique externe comme grc.com/passwords garantit un résultat sûr, alors que le laisser en créer un lui-même vous expose à un risque.
Pour saisir le fond du problème, il faut rappeler la nature prédictive des modèles de langage. Entraîné à deviner la suite d’une séquence textuelle, un LLM excelle dans la rédaction, la reformulation ou l’explication, mais pas dans la génération d’imprévisible.
Un risque amplifié par le vibe coding
Cette logique probabiliste va à l’encontre de ce qu’exige un mot de passe robuste : une combinaison totalement aléatoire, dépourvue de motif, de redondance ou de logique discernable.
Or le risque ne se limite pas aux conversations directes entre l’utilisateur et l’IA. Gibson met en garde contre une menace plus subtile : le vibe coding, cette approche qui consiste à développer des applications entières à partir de simples requêtes en langage naturel, sans examiner ni comprendre chaque ligne de code générée.
« Imaginez que vous vibe-codez quelque chose qui nécessite un mot de passe. Le LLM dit ‘Voilà un mot de passe’ et l’insère quelque part en profondeur dans votre code », avertit-il. La règle de prudence reste inchangée : utiliser un gestionnaire de mots de passe adossé à un générateur cryptographiquement sûr, ou recourir à des outils spécialisés pour toute création de clé sécurisée.