Un chercheur vient de sortir BruteForceAI : un outil qui combine IA et navigateur automatisé pour attaquer les pages de connexion à l'échelle, avec des comportements indiscernables d'un utilisateur humain.
Présenté comme un outil de pentest. Diffusé en open source. Ce qui veut dire qu'il est aussi entre les mains de tous ceux qui veulent l'utiliser hors cadre légal.
Vos mots de passe vont passer une sale année. Et ce n'est qu'un symptôme d'un sujet plus large : l'IA industrialise les attaques. La défense, elle, est encore largement bricolée.
Ce que fait BruteForceAI, concrètement
L'outil enchaine quatre opérations en autonomie totale :
→ Détecter les pages de connexion sur n'importe quel site
→ Comprendre les champs login/mot de passe, même s'ils sont nommés bizarrement
→ Attaquer en brute force ou password spray avec timing humain et user-agent randomisé
→ Remonter les succès directement sur Discord, Slack ou Teams
L'attaque tourne pendant que l'attaquant dort. Les patterns sont indistinguables d'un trafic humain légitime. Les WAF classiques ne détectent rien.
Le faux problème : "on a un mot de passe complexe"
Le mot de passe complexe est devenu un confort psychologique, pas une protection. Ce qui protège, ce sont les conditions dans lesquelles ce mot de passe peut être attaqué :
→ Pas de MFA — un mot de passe seul, même à 16 caractères, ne résiste plus aux attaques industrialisées
→ Pas de blocage après échec — la machine peut tester 10 000 combinaisons sans être stoppée
→ Pas de surveillance des patterns anormaux — personne ne voit que la même IP teste 50 comptes en 10 minutes
Si votre sécurité repose encore sur "login + mot de passe" sans le reste, vous êtes une cible idéale pour ce genre d'outils.
Le vrai problème : l'asymétrie attaque/défense s'inverse
Pendant 20 ans, les attaquants devaient travailler dur pour scaler. Aujourd'hui, l'IA fait le travail pour eux.
L'affaire KnowBe4 est un autre angle de la même lame de fond : photo LinkedIn générée par IA, identité volée, 4 entretiens vidéo passés sans être détecté, malware déployé en moins de 25 minutes après embauche. 300+ entreprises infiltrées selon Mandiant. Même schéma : industrialisation de la fraude par l'IA.
L'attaquant joue avec une IA déployée en 2026. Le défenseur joue avec une politique de sécurité rédigée en 2018. C'est ce décalage qui coûte cher.
Lundi matin : 5 réflexes à durcir cette semaine
- MFA partout, sans exception. Au moins sur VPN, webmail, CRM, tous les outils internes exposés. Pas "pour les profils sensibles". Pour tout le monde. Les attaquants ne distinguent pas.
- Blocage et ralentissement après échecs. CAPTCHA, délai exponentiel, lockout temporaire après X tentatives. C'est la mesure la plus efficace contre BruteForceAI — et la moins coûteuse à déployer.
- Gestionnaire de mots de passe pour tout le monde. Mots de passe forts + uniques par service. Si vos collaborateurs réutilisent les mêmes identifiants, une seule fuite externe ouvre tous vos services.
- Surveillance des patterns anormaux. Pics de tentatives, IP suspectes, patterns d'échec sur plusieurs comptes en parallèle. Si votre SIEM ne détecte pas BruteForceAI, durcissez les règles.
- Auditer les process RH face aux faux candidats IA. Vérification d'identité reverse-image, validation des diplômes étrangers, contrôle des adresses de livraison de laptop. Le recrutement remote sans vérification est un vecteur d'attaque actif.
Recette simple : tout ce qui expose une page de login = actif critique à surveiller et à durcir. Pas le reste de la stack — cette page-là.
Les attaquants industrialisent avec l'IA. À nous d'industrialiser la défense et l'hygiène d'authentification. Vos politiques de mots de passe ont-elles été revues depuis l'arrivée des LLM grand public, ou datent-elles encore d'avant ?