À l’occasion de la Journée mondiale du mot de passe, une étude révèle que les mots de passe générés par ChatGPT, Llama ou DeepSeek présentent des failles critiques. Les cybercriminels peuvent les craquer en un temps record.
Mouais, au bout d’un moment l’aléatoire n’est jamais vraiment aléatoire sur un ordinateur, quelqu’en soit la technique. Reste qu’on peut pas dire que ce soit une faille béante, car encore faut-il savoir que le mot de passe a été généré par une IA, puis savoir laquelle pour exploiter ses mauvaises habitudes, puis trouver la bonne combinaison, le tout sans se faire choper par la sécurité de l’endroit où l’on peut tester.
Dans tous les cas, la recommandation resterait de modifier légèrement la proposition de l’IA, car sinon il y a « quelqu’un » qui connaît votre mot de passe en clair.
1 « J'aime »
Qui est intéressé par l’étude ? #demerdetoi
C’est pas demain la journée mondiale du mot de passe ?
damned found it ! https://www.kaspersky.com/blog/international-password-day-2025/53355/
NB: pour ceux qui passent par là et qui vont s’énerver après le titre : " Ceux qui génèrent leurs mots de passe avec l’IA ont tort : les experts les déchiffrent en moins d’une heure"
Oui vous avez raison, le claim n’est pas : « les mots de passe généré avec IA peuvent être cracké en moins d’heure », en tout cas ce n’est pas présent dans l’article de blog de Kasperky.
Mais, plus inquiétant, la trouvaille d’Alexey Antonov de l’année dernière est qu’avec un matériel modeste (RTX 4090 ou une infra cloud peu couteuse) on peut cracker 59% des mots de passe en moins d’une heure. https://www.kaspersky.com/blog/password-can-be-hacked-in-one-hour/51469/
Our study last year found that intelligent algorithms — whether running on a powerful graphics card like the RTX 4090 or on inexpensive leased cloud hardware — can crack 59% of all passwords in the world in under an hour.
Ils sont dans la phase 2 de cette étude démarré l’an passé. Hâte de lire la suite, sujet passionnant. Merci @AlexLex14
C’est pour cela qu’on utilise des générateurs d’entropie et qu’on obtient du vrai aléatoire. Générateurs d’entropie communs:
Mouvements de souris
Frappe clavier
Activité disque
Activité réseau
Jitter de l’horloge
Température du processeur
Périphériques matériels
Instructions du processeur
Modules de sécurité matériels
Données de démarrage
Capteurs
Bruit électromagnétique
Interruptions système
Statistiques noyau
Délais mémoire
« les règles de création d’un bon mot de passe, soit un minimum de 12 caractères et un mélange de majuscules, minuscules, chiffres et symboles »
Il est temps de tordre le coup à cette idée reçue. En forçant les utilisateurs à utiliser au moins une majuscule, minuscule, un chiffre et un caractère special, on baisse la force d’un bon mot mot de passe.
Pour comprendre pourquoi, il faut savoir que la force d’un mot de passe dépend de son entropie : est-il prévisible ou non. L’utilisation de certain characters ne change que sa représentation, et tout comme une même valeur peut être représentée en décimale, en binaire ou en hexa, un mot de passe avec une même entropie peut être représenté que par des chiffres, que par des lettres ou autre. Cela changera sa longueur.
Demander un mix de type de characters est une faute de logique : il est vrai qu’à longueur égale un mot de passe POUVANT utiliser plusieurs types est plus fort qu’un mot de passe utilisant un seul. Mais en déduire qu’un mot de passe DOIT avoir un mix pour être fort est faux :
- cela enlève toutes les combinaisons sans mix, réduisant l’univers des possibilités. On sait par exemple qu’il n’y aura jamais de mot de passe uniquement avec des lettres ou uniquement avec des chiffres etc. Le pourcentage de combinaisons interdites est considérable : plus de la moitié des possibilités ne seront jamais utilisées.
- c’est encore pire lorsque c’est un humain qui applique les règles. Dans la majorité des cas il ne va utiliser que certains characters spéciaux (!?.,), et utilisera des combinaisons prévisibles comme le chiffre suivit du character special a la fin.
Au final jusqu’à 80% des combinaisons ont été supprimées, facilitant considérablement le travail d’un attaquant.
Pour l’anecdote, on a la même diminution d’entropie en demandant à l’utilisateur de changer régulièrement de passe : il utilise des combinaisons de plus en plus simple.
A ce sujet, si Clubic pouvait arrêter de forcer le changement de mot de passe et la demande d’un mix de characters, ce serait bien 
2 « J'aime »
Une passphrase et tout est réglé
mais qui a eu l’idée de générer des mots de passe par IA ?
1 « J'aime »
Quand tu vois qu’une majorité utilise encore et toujours les 000, 1234 etc, je trouve que c’est un bon début l’IA (même pas une bonne solution, c’est toujours mieux que 1234).
Une majorité, faudrait peut-être pas exagérer quand même…
C’est pas tout jeune, mais vu les rapports des différents organismes, ça n’a pas trop changé.
Y’a un petit biais non ? Si les données viennent de leak c’est qu’on est pas face aux données les mieux sécurisées non ?,Et donc probablement face à des outils qui ne force pas les utilisateurs à des mots de passe « complexes » ?
Ce qui ne dit absolument pas qu’ils sont majoritaires…
Déjà, comme le dit l’article Wikipedia, les 25 plus courants ne sont que 10% des mots de passe.
Ensuite, les données de base pour ce genre d’études souffrent de profonds biais qui ont tendance à provoquer une sur-représentation des mots de passe faibles.
D’abord, parce que les bases de mots de passe qui se font pirater sont rarement en clair, c’est hashé. Donc pour en tirer une liste de mots de passe en clair, ben faut casser les hash. Et je te le donne en mille, quels sont les mots de passe dont les hash seront le plus facilement cassés ? Ben les mots de passe faibles…
Ensuite, ces listes de mots de passe leakées sont souvent issus de services peu critiques, où statistiquement les gens vont plus souvent utiliser des mots de passe faibles, parce qu’ils ont pas envie de se faire chier… Tata Martine qui utilise le prénom de son chien pour son forum de recettes de cuisine, ça veut pas dire qu’elle n’utilise pas un mot de passe plus fort pour son mail ou sa banque… Mais son mot de passe qui a le plus de chances de leaker, c’est celui de son forum de recettes, pas celui de sa banque…
Enfin, les grosses compilations de mots de passe qui sont publiées sur le darkweb sont souvent des compilations de compilation de compilation. Non seulement on ne sait plus d’où ça vient à la base, ni de quand ça date (ce qui fausse toute étude sur des tendances dans le temps…), ni la date du leak, et encore moins la date à laquelle le mot de passe a été défini (parce que quand une base d’un forum leak, dedans il peut y avoir des mots de passe qui n’ont pas été utilisés depuis dix ans, parce que l’utilisateur n’est plus passé sur le forum depuis tout ce temps… et là encore, ce phénomène va avoir tendance à surreprésenter les mots de passe faible : plus on remonte loin dans le temps, plus ils sont fréquents, et en plus, les hash des mots de passe anciens sont plus faciles à casser, car quand un service renforce son hashage, il va rehasher les mots de passe au fil des reconnexion des utilisateurs, et les mots de passe de ceux qui n’utilisent plus le service vont rester sur l’ancienne méthode de hashage…), mais en plus y a de bonnes chances que certaines sources s’y retrouvent dupliquées x fois.
Bref, non, y a rien qui prouve que ces mauvaises pratiques sont encore majoritaires aujourd’hui.
Pour le prouver, faudrait faire une vraie étude, avec un processus scientifique pour éliminer tous les biais. Sauf que malheureusement c’est à peu près impossible à faire, puisque ça nécessiterait de collecter les mots de passe quand les gens les utilisent (à la limite, on pourrait envisager un truc qui se contente de donner une note de sécurité au mot de passe et collecte ça, mais dans tous les cas, pour le faire ça implique d’intégrer du code de collecte dans les formulaires de login des sites participant à l’étude… avec forcément des risques pour la sécurité du coup).
1 « J'aime »
Le problème, c’est qu’on ne peut pas avoir de source totalement fiable, on fait donc avec les leaks, avec les rapports d’enquêtes, les données des gestionnaires de mots de passe (à prendre avec des pincettes, mais elles ne sont pas bien loin des autres sources, donc probablement pas loin de la « vérité »)
1 « J'aime »
10% suffis à être majoritaire…
Majoritaire c’est pas 50%
Se référer à ce que j’ai répondu au précédent.
Parce que tu penses vraiment que Tata Martine a conscience des risques ? Pour cotoyer et avoir cotoyer beaucoup de gens « technophobe » ou peu qualifié, quasiment tous disent « bah j’sais pas quoi mettre, c’est pas grave, c’est plus simple de s’en souvenir » et ne savent même pas qu’un gestionnaire de mots de passe existe.
C’est donc pour ça, qu’on fait avec les données qu’on a en attendant… faute de mieux.
Oui et non. On peut effectivement prendre majoritaire au sens « le plus utilisé ». Et là oui, 123456 est le mot de passe majoritaire. Par contre quand tu dis « une majorité utilise encore et toujours les 000, 1234 etc », et j’insiste bien, avec le « etc », ce que tu opposes, c’est « ceux qui utilisent des mots de passe faible » vs « ceux qui n’utilisent pas des mots de passe faibles ». Quand il n’y a que deux groupes, la majorité c’est celui qui fait plus de 50%.
Sauf que non. Ne pas avoir de données de qualité n’est en aucun cas une excuse pour asséner comme une vérité les conclusions des études basées sur les seules données disponibles… Dans ce cas, on s’abstient juste.
« Faute de grive on mange des merles », c’est valable quand il faut bien manger quelque chose pour pas mourir. Pas pour justifier de présenter comme factuel le résultat d’une étude souffrant de biais méthodologiques monumentaux.
1 « J'aime »
J’ai jamais parlé de seulement 2 groupes, d’autant que MDP fort veut tout et rien dire. Un MDP de 32 caractères sera fort pour machin, mais pour truc ça sera minimum 128, on dit que c’est très fort, ou c’est fort jusqu’à l’infini ? Et « fort », ça commence à combien ? Il y a un consensus pour ça ?
Il y a énormément de catégorie de mots de passes, il y en a des « faibles » même si ça n’a pas de définition propre, des corrects, des passables, des pas mal, des bons, des très bons, de l’absurdement complexe mais jamais infaillible (donc pas si fort que ça)… Donc, oui, quand il y a une infinité de type de mots de passe qu’on range selon son interprétation du jour, alors même 10% c’est majoritaire et c’est énorme.
Sauf que j’ai jamais dit que c’était une vérité, bien au contraire…
Comparaison sur vingt. Il n’y a que des stats interprétable et aucune fiable (car fiable n’existe pas pour ce genre de truc), donc on fait avec ce qu’on a en disant qu’on n’a pas mieux.
Factuel ne veut pas dire vrai.
Exemple : Putin est élu démocratiquement, c’est un fait, c’est donc factuel, les résultats officiels le prouve. Par contre, les données externes et neutres, disent que c’est faux et qu’il n’a pas vraiment d’opposition (ou qui ont des soucis de santé… ou qui déménagent dans un logement très modeste et froid), c’est donc faux, il n’est pas élu démocratiquement, c’est données externes sont également factuelles. Factuel ne veut donc pas dire que c’est vrai, mais que c’est basé sur des données (qui ne sont pas forcément vrai, comme on le voit de temps en temps).
Autre exemple : les sondages, les résultats sont factuels, même si c’est ultra biaisé (suivant qui fait le sondage, où il le fait, comment il pose les questions, si c’est suite à des évènements et si les résultats publiés sont vrais, etc). Et pourtant ils se trompent plutôt souvent, Trump ne devait pas être élu au premier mandat, et il a gagné. Pourtant les données disaient le contraire…
Ben quand tu met en avant un seul groupe, les mots de passe faibles (" 000, 1234 etc"), c’est évident que c’est par opposition à ceux qui ne sont pas faibles hein… Enfin évident pour quiconque a une once de logique et un esprit rationnel…
Et il y a surtout des élucubrations absurdement complexes pour tenter de se rattraper aux branches plutôt que d’admettre son erreur 
Tiens, pour pousser un peu plus le délire, tu pourrais dire que tu définis les mots de passe faible comme étant « le plus petit ensemble de mots de passe tels que les mots de passe de cet ensemble représentent plus de 50% des mots de passe utilisés », et hop, magie, tu as une majorité de mots de passe faibles
1 « J'aime »
Oui, quiconque est logique et rationnel sait que quand on cite un seul groupe, c’est qu’il n’y en a que 2, c’est tellement évident…
Quand BFMerde parle de religion (oui au singulier, c’est très souvent une seule), tu te dis « tiens, il n’y a que 2 » ?
Si on parle des personnes de petites tailles (déjà c’est à partir de combien « petit » ?), selon toi, il n’y a que 2 groupes, les petits et les grands (c’est à partir de combien « grand » ? Tu ne te dis pas « ici c’est la moyenne, ni grand ni petit » ? Et Grand c’est jusqu’à combien ? On inclut Robert Wadlow où il a une catégorie pour lui aussi ?
Ta vision de la logique est très discutable…
Avant d’admettre une erreur, il faut des contres arguments un minimum potables, hein …
Et c’est évidement toujours l’autre qui à tort dans ta « logique et ton esprit rationnel » (à géométrie variable)
Commence par répondre à mes questions avant d’en poser… esprit logique et rationnel, tout ça… hein 
Ouais, c’est clair, ou plus simple et pratique, un gestionnaire de MDP, qui fait le travail pour nous, il y en a plein en plus.