Dans le domaine du pentest, sur des formulaires de connexion peu sécurisés, il est fréquent de procéder à des tests de bruteforce avec des mots de passe courants comme ‘1234’ ou ‘admin’. Toutefois, face à des formulaires aux sélecteurs CSS changeants et aux noms des champs aléatoires, la tâche devient rapidement complexe et fastidieuse. Pour pallier ces problèmes, le développeur Mor David a conçu un outil innovant : BruteForceAI. Cet outil intègre de l’intelligence artificielle pour faciliter le processus de tests de sécurité.
La force de BruteForceAI réside dans sa capacité à analyser d’abord la structure de la page HTML à l’aide d’un modèle de langage avant de procéder à une attaque de bruteforce. Avec un taux de précision de 95% pour l’identification des éléments de connexion, cet outil permet de gagner un temps précieux en évitant de mapper manuellement les sélecteurs CSS. Ce système en deux étapes commence par le décodage du HTML, suivi d’une attaque qui simule le comportement humain avec des délais aléatoires et une logique de redémarrage puissante.
Il est crucial de se souvenir que les outils comme BruteForceAI doivent être utilisés uniquement à des fins légales et éthiques.
Pour utiliser BruteForceAI, il vous faudra installer Python 3.8 ou plus récent, ainsi que Playwright pour l’automatisation du navigateur. Vous avez également le choix entre des options locales et cloud pour le modèle LLM. Les modes d’attaque, que ce soit le bruteforce classique ou le Password-Spray, sont simples mais efficaces. L’approche Password-Spray permet d’essayer chaque mot de passe sur plusieurs comptes afin d’éviter des blocages après plusieurs tentatives échouées, rendant cette méthode particulièrement redoutable contre les entreprises ayant des politiques de mots de passe uniformes.
Une analyse de CipherX Labs indique que l’intelligence artificielle rend le cracking de mots de passe jusqu’à 100 fois plus rapide que les méthodes traditionnelles. Par ailleurs, Mor David souligne que son outil est conçu pour des tests de sécurité autorisés, la recherche et les programmes de bug bounty. Son utilisation à des fins illégales n’est pas seulement éthique, mais également répréhensible en vertu de la loi.
Pour se défendre contre des outils comme BruteForceAI, il est désormais nécessaire d’intégrer des systèmes de détection comportementale, tels que l’analyse du comportement des utilisateurs et des entités (UEBA), afin de contrer d’éventuelles attaques. De plus, avec l’émergence d’outils comme PassGAN, alimentés par les fuites de données, l’efficacité des attaques basées sur l’IA ne cesse d’augmenter. C’est un cercle vicieux où chaque fuite génère des opportunités pour de futures violations de données, renforçant ainsi la nécessité d’une cybersécurité résiliente.
Enfin, pour ceux qui souhaitent tester BruteForceAI sur leurs propres systèmes (avec l’autorisation adéquate), l’installation est simple. Il suffit de cloner le dépôt, d’installer les dépendances, puis d’exécuter quelques commandes. Mais avant de vous lancer dans cette aventure, assurez-vous d’avoir l’autorisation écrite du propriétaire du système que vous testez. En conclusion, à l’heure où l’utilisation de mots de passe de moins de 14 caractères est toujours fréquente, il devient urgent de réévaluer vos pratiques de sécurisation.
