Pourquoi les mots de passe générés par les LLM sont dangereux : ils semblent faire 100 bits, mais n’en font en réalité que 27

En s’appuyant sur une étude de la société de sécurité Irregular, l’article souligne que les mots de passe générés par des LLM récents comme Claude, ChatGPT, Gemini paraissent très robustes en surface, mais sont en réalité extrêmement vulnérables.

Principaux résultats de l’expérience

• La requête « génère-moi un mot de passe » a été répétée 50 fois pour chaque modèle
• Claude Opus 4.6 : sur 50 essais, 18 ont produit exactement le même mot de passe G7$kL9#mQ2&xP4!w (36 % identiques), avec seulement 30 mots de passe uniques
• Chaque modèle montre une préférence nette pour certains motifs
  • Claude → commence par « G » + deuxième caractère « 7 »
  • ChatGPT → commence par « v »
  • Gemini → commence par « k » ou « K »
• Changer la température de 0.0 à 1.0 ne modifie pas beaucoup le résultat (à 0.0, les 50 sorties sont exactement le même mot de passe)

L’illusion d’entropie (d’aléa)

• Des outils comme KeePass les évaluent comme ayant « environ 100 bits d’entropie, très robuste »
  → cela donne l’impression qu’il faudrait des milliards d’années, même avec un superordinateur
• Mais le calcul réel de l’entropie de Shannon montre que les mots de passe générés par Claude sont au niveau de 27 bits
  → des mots de passe faibles, cassables en quelques secondes sur un ordinateur ordinaire
• Exemple avec GPT-5.2 : la probabilité que le 15e caractère soit le chiffre « 2 » est de 99,7 % (presque figé)

Pourquoi les LLM sont inadaptés à la génération de mots de passe

• Un mot de passe réellement robuste doit être généré par un CSPRNG (générateur de nombres aléatoires cryptographiquement sûr), avec une probabilité uniforme pour chaque caractère
• Un LLM, au contraire, est entraîné à prédire le token suivant le plus plausible → il maximise donc la prévisibilité
• → Même avec un bon prompt ou un réglage de la température, le problème de fond ne peut pas être résolu (conclusion d’Irregular)

Un problème plus grave : le risque des agents de codage IA

• Claude Code, Gemini-CLI, Codex, etc. codent en dur des mots de passe vulnérables dans le code
  Ex. : MariaDB, PostgreSQL, clés API FastAPI, etc.
• « Génère-moi un mot de passe » → proposition d’une méthode sûre comme openssl rand
  « Recommande-moi un mot de passe » → insertion directe d’un mot de passe à motif généré par le LLM
• Une recherche sur GitHub de motifs comme K7#mP9, k9#vL permet d’en trouver dans de nombreux dépôts réels

Conclusion

• Les LLM savent très bien produire des mots de passe qui « ont l’air solides », mais la vraie sécurité dépend non pas de l’apparence, mais de l’entropie réelle et de l’aléa.
• En raison de leur conception centrée sur la prédiction, les LLM sont structurellement inadaptés à la génération de mots de passe ; et si des outils de codage IA les injectent dans du code, des vulnérabilités peuvent se propager discrètement dans les processus de développement automatisés.

https://aisparkup.com/posts/9480