globalsecuritymag.fr

À l'occasion de la Journée mondiale du mot de passe, Kaspersky met en garde contre la génération de mots de passe par l'IA

À l'occasion de la Journée mondiale du mot de passe, Kaspersky met en garde contre la génération de mots de passe par l'IA - Points de Vue

Avr 30, 2025 - 13:01
 0
À l'occasion de la Journée mondiale du mot de passe, Kaspersky met en garde contre la génération de mots de passe par l'IA

La majorité des services et applications en ligne exigent une authentification par mot de passe. Résultat : les utilisateurs accumulent une multitude de comptes et de mots de passe, qu'ils finissent souvent par oublier. Beaucoup de ces mots de passe ne sont pas utilisés au quotidien, et cette profusion favorise la réutilisation d'un même mot de passe pour plusieurs comptes, augmentant ainsi les risques en matière de sécurité.

La mauvaise gestion des mots de passe est souvent accentuée par l'usage de combinaisons trop prévisibles, mêlant noms, mots du dictionnaire et chiffres. Non seulement ces mots de passe sont faciles à deviner, mais ils ouvrent aussi la porte à d'autres comptes : une fois qu'un cybercriminel en dérobe un, il peut potentiellement accéder à de nombreux services en ligne.

Pour contrer ce risque, les internautes sont invités à créer des mots de passe uniques et aléatoires. Cependant, la création et la gestion des mots de passe peuvent être un véritable fardeau. Pour se faciliter la tâche, certains utilisateurs pourraient être tentés d'utiliser des modèles de langage (LLM) tels que ChatGPT, Llama ou DeepSeek pour les aider dans la génération de leurs mots de passe.

La méthode présente des atouts : au lieu de s'efforcer à trouver un mot de passe robuste, les utilisateurs peuvent s'en remettre à l'intelligence artificielle pour en générer un automatiquement. L'IA crée ainsi des suites de caractères apparemment aléatoires, contournant la tendance humaine à choisir des mots de passe trop prévisibles. Toutefois, Kaspersky met en garde : ces mots de passe générés par l'IA ne sont pas toujours aussi sécurisés qu'ils en ont l'air.

Alexey Antonov, chef de l'équipe Data Science chez Kaspersky, a testé cette hypothèse en générant 1 000 mots de passe à l'aide de certains des LLM les plus connus et les plus fiables, notamment ChatGPT (OpenAI), Llama (Meta) et DeepSeek. « Tous les modèles savent qu'un bon mot de passe se compose d'au moins 12 caractères, dont des lettres majuscules et minuscules, des chiffres et des symboles. Ils le précisent lorsqu'ils génèrent des mots de passe » explique M. Antonov.

« DeepSeek et Llama ont parfois généré des mots de passe composés de mots du dictionnaire, dans lesquels certaines lettres sont remplacées par des chiffres de forme similaire : S@d0w12, M@n@go3, B@n@n@7 (DeepSeek), K5yB0a8dS8, S1mP1eL1on (Llama). Ces deux modèles tendent par ailleurs à générer le mot de passe "password" : P@ssw0rd, P@ssw0rd !23 (DeepSeek), P@ssw0rd1, P@ssw0rdV (Llama). Il va sans dire que de tels mots de passe ne sont pas sûrs », ajoute M. Antonov.
L'astuce consistant à substituer des lettres est connue et n'est pas difficile à détourner. ChatGPT échappe à ce problème et ne génère que des mots de passe qui se rapprochent de mots de passe aléatoires. Par exemple :
• qLUx@^9Wp#YZ
• LU#@^9WpYqxZ
• YLU@x#Wp9q^Z
• YLp^9W#qX@zv
• P@zq^XWLY#v9
• v#@LqYXW^9pz
• X@9pYWq^#Lzv

Toutefois, en y regardant de plus près, on observe des schémas qui se répètent. Par exemple, le chiffre 9 revient très régulièrement.

Le graphique ci-dessous répertorie tous les symboles présents dans 1000 mots de passe générés par ChatGPT. Il apparaît clairement que presque tous ces mots de passe contiennent les symboles x, p, l, L .... Cela contredit l'aspect aléatoire des mots de passe ainsi générés.

Fréquence des caractères utilisés dans les mots de passe générés par ChatGPT

Llama s'en sort un peu mieux mais semble mettre en avant le symbole #, les lettres p, l, L.

Fréquence des caractères utilisés dans les mots de passe générés par Llama

DeepSeek se comporte de manière similaire :

Fréquence des caractères utilisés dans les mots de passe générés par DeepSeek

Le générateur de mots de passe aléatoire idéal ne favoriserait aucune lettre plutôt qu'une autre, et tous les symboles apparaîtraient à peu près le même nombre de fois.

En outre, les algorithmes ont souvent négligé d'insérer un caractère spécial ou des chiffres dans le mot de passe : c'est le cas pour 26 % des mots de passe générés par ChatGPT, 32 % par Llama et 29 % par DeepSeek. DeepSeek et Llama ont parfois généré des mots de passe de moins de 12 caractères.

En connaissant ces corrélations, les cybercriminels peuvent accélérer considérablement leurs attaques de mots de passe par force brute : par exemple, au lieu de procéder dans l'ordre « aaa », « aab », « aac », ... , ils pourraient commencer par les combinaisons les plus fréquentes.

En 2024, M. Antonov a mis au point un algorithme d'apprentissage automatique pour tester la solidité des mots de passe, permettant de constater que près de 60 % des mots de passe peuvent être déchiffrés en moins d'une heure à l'aide de processeurs graphiques modernes ou d'outils de déchiffrement basés sur le cloud. Appliqués aux mots de passe générés par l'IA, les résultats sont alarmants : 88 % des mots de passe générés par DeepSeek et 87 % de ceux générés par Llama ne sont pas assez solides pour résister aux attaques sophistiquées. Pour ChatGPT, ce sont 33 % des mots de passe générés qui ont échoué au test mis en place par Kaspersky.

« Le problème, c'est que les LLM ne génèrent rien véritablement au hasard. Ils imitent des modèles de données existantes, ce qui rend leurs résultats prévisibles pour les attaquants qui comprennent comment ces modèles fonctionnent », commente Antonov.

Vers une gestion des mots de passe plus sûre

Plutôt que de s'en remettre à l'IA, les utilisateurs devraient adopter un logiciel de gestion des mots de passe spécialisé, tel que Kaspersky Password Manager. Ces outils présentent plusieurs avantages clés :

• Ils utilisent des générateurs cryptographiquement sécurisés pour créer des mots de passe sans modèle détectable, garantissant le caractère aléatoire de la génération de mots de passe.
• Toutes les informations d'identification ainsi générées sont stockées dans un coffre-fort sécurisé, protégé par un seul mot de passe principal. Il n'est donc plus nécessaire de se souvenir de centaines de mots de passe.
• Ils proposent des fonctions de remplissage automatique et de synchronisation entre les appareils, ce qui simplifie les connexions sans compromettre la sécurité. Nombre de ces outils incluent également un système de surveillance des violations, alertant les utilisateurs si leurs informations d'identification figurent dans une fuite de données.

Si l'IA peut être utile dans de nombreux domaines, la génération de mots de passe n'en fait pas partie. Les modèles et la prévisibilité des mots de passe créés par l'IA les rendent vulnérables au piratage. Au lieu de prendre des raccourcis, investissez dans un gestionnaire de mots de passe éprouvé, qui constitue votre première ligne de défense contre les cybermenaces. A l'heure où les violations de données sont monnaie courante, le choix d'un mot de passe fort et unique pour chaque compte n'est pas négociable.

Lire plus

Tags :

Article précédent

KI-Agenten – drei Varianten, die sich besonders gut für einen Einsatz in der Cyb...

Article suivant

Le top 5 des actus cybersécurité (30 avr 2025)

Articles similaires

Vigilance.fr - FreeBSD: denial of service via Daemon Missing Signals, analyzed on 10/04/2025

Vigilance.fr - FreeBSD: denial of service via Daemon Mi...

Avr 25, 2025  0

Vigilance.fr - SUSE: security improvement via Dovecot-auth /sbin Unix Check Password, analyzed on 10/04/2025

Vigilance.fr - SUSE: security improvement via Dovecot-a...

Avr 25, 2025  0

Devoteam recrute Ariane Rossi au poste de Directrice Financière du Groupe

Devoteam recrute Ariane Rossi au poste de Directrice Fi...

Avr 28, 2025  0