796 episodes
- Parce que… c’est l’épisode 0x31D!
Shameless plug
19 septembre 2026 - Bsides Montréal
20 au 26 septembre 2026 - BruCON
13 novembre 2026 - DEATHCon
16 au 19 novembre - European Cyber Week
1 au 3 décembre 2026 - Forum INCYBER - Canada 2026
24 et 25 février 2027 - SéQCure 2027
Description
Notes
Bromure
Collaborateurs
Nicolas-Loïc Fortin
Renaud Deraison
Crédits
Montage par Intrasecure inc
Locaux réels par SSTIC Teknik - La curiosité source de toutes les croissances en cybersécurité - Parce que... c'est l'épisode 0x31C!
2026-07-15 | 38 mins.Parce que… c’est l’épisode 0x31C!
Shameless plug
19 septembre 2026 - Bsides Montréal
20 au 26 septembre 2026 - BruCON
13 novembre 2026 - DEATHCon
16 au 19 novembre - European Cyber Week
1 au 3 décembre 2026 - Forum INCYBER - Canada 2026
24 et 25 février 2027 - SéQCure 2027
Description
Collaborateurs
Nicolas-Loïc Fortin
Martin Dubé
Crédits
Montage par Intrasecure inc
Locaux réels par Intrasecure incTeknik - Posture de l'IA défensif ou comment nous apprenons de l'IA offensif - Parce que... c'est l'épisode 0x31B!
2026-07-14 | 48 mins.Parce que… c’est l’épisode 0x31B!
Shameless plug
19 septembre 2026 - Bsides Montréal
20 au 26 septembre 2026 - BruCON
13 novembre 2026 - DEATHCon
16 au 19 novembre - European Cyber Week
1 au 3 décembre 2026 - Forum INCYBER - Canada 2026
24 et 25 février 2027 - SéQCure 2027
Description
Collaborateurs
Nicolas-Loïc Fortin
Mickael Nadeau
Crédits
Montage par Intrasecure inc
Locaux virtuels par Riverside.fm- Parce que… c’est l’épisode 0x31A!
Shameless plug
19 septembre 2026 - Bsides Montréal
20 au 26 septembre 2026 - BruCON
13 novembre 2026 - DEATHCon
16 au 19 novembre - European Cyber Week
1 au 3 décembre 2026 - Forum INCYBER - Canada 2026
24 et 25 février 2027 - SéQCure 2027
Notes
IA ou Ghost in the shell
Secret Claude tracker shocks users after Anthropic’s anti-surveillance stance
Automatic Association of Cloud Security Controls and Quantifiable Metrics for Certification This work is partially supported
Beyond the Syntax: Do Security Experts Trust LLMs for NIDS Rule Engineering?
From Beats to Breaches: How Offensive AI Infers Sensitive User Information from Playlists
“God has helped us, and so will AI”: How the Terrorist Group Boko Haram Uses Frontier AI
What the New AI Executive Order Means for GovTech
Hidden Web Prompts Trick AI Agents Into Sending Money
Build your own vulnerability harness
T3MP3ST Security Framework With 35 Tools, Turns AI Coding Agents Into 0-Day Bug Hunters
US Cyber Agency Is Using Anthropic’s Mythos To Audit Government Code
Microsoft warns customers AI will mean busier Patch Tuesdays
AI meets Cryptography 1: What AI Found in Cloudflare’s CIRCL - ZK/SEC Quarterly
La guerre, la guerre, c’est pas une raison pour se faire mal!
Rien
Souveraineté ou vive le numérique libre!
Why Being Locked Out of Frontier AI is The Sovereignty Threat Canada Missed
Facing US export controls, China’s DeepSeek plans to make its own chips
Privacy ou cachez ces informations que je ne saurais voir
Footage Shows Cop Stalking Woman He Met on a TV Set After Surveilling Her With a License Plate Reader
All Cars Sold in the EU Now Require a Camera Aimed at Your Face. It’s Still Not Clear Where That Data Goes
The Masks We (Think We) Wear: Privacy Threats of Browser-Extension Wallets in the Web3 Ecosystem
Microsoft to enable Windows settings backup by default for orgs
Facial Recognition in UK Shops Will Soon Instantly Alert Police About Offenders
I am the law
Control ton chat
EU now one step away from reviving private message scanning rules
Chat Control 1.0 vs 2.0 - Fight Chat Control
Chat control 1.0 has renewed till 2028
Showdown in Strasbourg: The unexpected return of Chat Control 1.0
GitHub - SmtimesIWndr/gdid-reversal · GitHub
Blocked Twice: How Bill C-34’s Kids’ Social Media Ban Would Compound the Online News Act’s Harm to Young Canadians’ News Access
Supreme Court Allows Texas To Require Age Verification For Mobile Apps
Red ou tout ce qui est brisé
Google pays $250K for Linux vulnerability allowing guest VM escapes
Bug in top AI coding agents shows that Unix-era security headaches never really die
Software Is Now Written at the Speed of Thought. Security Isn’t.
Finding vulnerabilities was never the hard part
Blue ou tout ce qui améliore notre posture
The Cathedral and the Bazaar of Software Vulnerabilities: From the NVD to the CNAs
Microsoft closes book on Nightmare Eclipse’s RoguePlanet zero-day
Divers ou parce que j’ai aucune idée où les placer
The growing list of European organisations that ban personal messaging apps at work
Vos vieux disques Mac chiffrés ont une date de péremption
Collaborateurs
Nicolas-Loïc Fortin
Crédits
Montage par Intrasecure inc
Locaux réels par Intrasecure inc Teknik - Génération des mots de passe par LLM - Parce que... c'est l'épisode 0x319!
2026-07-09 | 22 mins.Parce que… c’est l’épisode 0x319!
Shameless plug
19 septembre 2026 - Bsides Montréal
20 au 26 septembre 2026 - BruCON
13 novembre 2026 - DEATHCon
16 au 19 novembre - European Cyber Week
1 au 3 décembre 2026 - Forum INCYBER - Canada 2026
24 et 25 février 2027 - SéQCure 2027
Description
Contexte de la recherche
Dans cet épisode de Polysécure, l’animateur reçoit Gaëtan Ferry, chercheur en sécurité chez GitGuardian, pour discuter d’une recherche originale sur la génération de mots de passe par les grands modèles de langage (LLM). Le point de départ est un article publié début 2026 par Irregular, une entreprise israélienne, qui avait démontré que les mots de passe générés par les LLM présentaient des biais statistiques importants, variables selon les modèles. Cette découverte a poussé l’équipe de GitGuardian à se demander si ces mots de passe biaisés se retrouvaient réellement « dans la nature », c’est-à-dire utilisés par de vraies personnes sur de vrais systèmes.
GitGuardian dispose d’un avantage unique pour répondre à cette question : son activité principale consiste à détecter des secrets (mots de passe, clés API, etc.) exposés publiquement, notamment sur GitHub. L’entreprise possède donc une base de données massive de secrets, dont une catégorie dite « générique » — des chaînes de caractères qui ressemblent à des mots de passe mais ne suivent aucun format standardisé identifiable.
Méthodologie : les chaînes de Markov
Pour détecter automatiquement si un mot de passe avait été généré par un LLM, l’équipe a eu l’idée de reconstruire une structure statistique classique : les chaînes de Markov, l’ancêtre technique des LLM, utilisées par exemple dans la prédiction de texte sur les claviers de téléphone. Ces chaînes excellent à capturer des biais statistiques dans une séquence de caractères.
La méthode a consisté à interroger 40 modèles de LLM différents, en leur demandant de générer des centaines de mots de passe chacun. À partir de ces échantillons, plusieurs types de chaînes de Markov ont été construits, prenant en compte (ou non) la position des caractères dans le mot de passe. Ces structures permettent ensuite, face à un mot de passe arbitraire, d’estimer la probabilité qu’il ait été généré par un LLM, un peu comme une mesure d’entropie relative à une base de référence précalculée.
Des biais spectaculaires
Les résultats ont confirmé, voire amplifié, les observations d’Irregular. L’exemple le plus frappant concerne un modèle (Opus, à l’époque de l’étude) qui ne générait des mots de passe uniques que dans 35 % des cas — autrement dit, il répétait le même mot de passe dans 65 % des requêtes. Un modèle de Mistral faisait encore pire : il ne générait qu’un seul et unique mot de passe, toujours identique, laissant penser qu’il se contentait de restituer une valeur mémorisée durant son entraînement plutôt que d’en générer une nouvelle.
Gaëtan Ferry explique ce phénomène par la tokenisation : certains modèles (comme GPT, étudié par Irregular) découpent le mot de passe en plusieurs tokens indépendants, ce qui introduit une certaine variabilité, alors que d’autres semblent traiter le mot de passe comme un token unique, menant à une quasi-absence de diversité. Un biais récurrent, observé sur presque tous les modèles, est l’alternance rigide entre catégories de caractères (minuscule, majuscule, chiffre, symbole) selon un schéma répétitif — un pattern idéal à capturer dans une chaîne de Markov. Sur un modèle donné, par exemple, un symbole « # » est suivi d’un « 8 » dans 90 % des cas.
Ce comportement s’explique par la nature même des LLM : entraînés à reproduire des régularités linguistiques, ils sont fondamentalement conçus pour être prévisibles — l’exact opposé de ce qu’exige une bonne génération de mot de passe, qui requiert une forte entropie.
Résultats sur les données réelles
En appliquant cette classification à un échantillon d’environ 3 millions de secrets génériques collectés entre janvier et mars 2026, l’équipe a identifié environ 28 000 mots de passe présentant une très forte probabilité d’avoir été générés par un LLM, avec un seuil de confiance élevé. Bien que ce nombre représente une fraction modeste de l’échantillon total, la tendance est constante : environ 1 500 à 2 500 nouveaux mots de passe générés par LLM apparaissent chaque semaine sur GitHub, un rythme jugé préoccupant compte tenu qu’il ne s’agit que du sous-ensemble visible publiquement — la réalité en environnements privés étant probablement plus large encore.
L’analyse du contexte d’apparition de ces mots de passe révèle deux scénarios typiques : soit un humain a manifestement demandé au LLM de générer un mot de passe pour l’insérer dans un fichier de configuration (par exemple une base de données), soit — plus troublant — un agent de développement autonome a lui-même pris la décision de générer et d’intégrer le mot de passe dans du code, comme dans un fichier de configuration Terraform observé par l’équipe, le tout dans un commit signé par l’agent d’IA lui-même, sans intervention humaine apparente.
Une anecdote marquante
Lors d’une présentation de ces résultats en conférence, Gaëtan Ferry a vu une personne quitter précipitamment la salle en voyant une diapositive listant des exemples de mots de passe faibles générés par un LLM. Cette même personne est revenue lui expliquer qu’elle avait justement demandé, ce matin-là, à un LLM de générer un mot de passe pour un service en ligne — et qu’elle venait de réaliser qu’il s’agissait exactement du même mot de passe affiché à l’écran. Un exemple frappant, selon lui, du fait que même des publics avertis en sécurité adoptent ce genre de pratique risquée.
Conclusion
Gaëtan Ferry conclut que le problème dépasse la simple question de la qualité du mot de passe généré : demander à un LLM hébergé chez un tiers de générer un secret expose potentiellement ce secret avant même qu’il n’apparaisse à l’écran de l’utilisateur, via les journaux et infrastructures du fournisseur. Il y voit une incompréhension plus profonde de la nature du LLM et des bonnes pratiques de gestion des secrets, et espère que ce partage contribuera à faire évoluer les pratiques des développeurs.
Collaborateurs
Nicolas-Loïc Fortin
Gaetan Ferry
Crédits
Montage par Intrasecure inc
Locaux réels par SSTIC
More Technology podcasts
Trending Technology podcasts
About PolySécure Podcast
Podcast francophone sur la cybersécurité. Pour professionels et curieux.
Podcast websiteListen to PolySécure Podcast, Hard Fork and many other podcasts from around the world with the radio.net app

Get the free radio.net app
- Stations and podcasts to bookmark
- Stream via Wi-Fi or Bluetooth
- Supports Carplay & Android Auto
- Many other app features
Get the free radio.net app
- Stations and podcasts to bookmark
- Stream via Wi-Fi or Bluetooth
- Supports Carplay & Android Auto
- Many other app features


PolySécure Podcast
Scan code,
download the app,
start listening.
download the app,
start listening.
PolySécure Podcast: Podcasts in Family























