Les mots de passe vont passer une sale année…
Un chercheur vient de sortir BruteForceAI : un outil qui utilise une IA + un navigateur automatisé pour :
-- détecter tout seul les pages de connexion, -- comprendre les champs login / mot de passe, -- lancer des attaques brute force ou password spray de façon “humaine” (timing, user-agent random, etc.), -- et remonter les succès direct sur Discord / Slack / Teams.
Sur le papier, c’est présenté comme un outil de pentest (et il DOIT rester dans ce cadre, sinon c’est illégal). Dans la réalité, ça confirme surtout une chose : Les attaques sur les identifiants sont en train de passer à l’échelle avec l’IA.
Concrètement, ça veut dire quoi pour une boîte “normale” ?
Si votre sécurité repose encore surtout sur
-- login + mot de passe -- sans MFA -- avec pas/peu de blocage après plusieurs essais …vous devenez une cible idéale pour ce genre d’outils “intelligents”.
Quelques réflexes à mettre en place (hier)
MFA partout (au moins sur VPN, webmail, CRM, outils internes exposés) Blocage & ralentissement après X tentatives ratées (CAPTCHA, délai, lockout temporaire) Mots de passe forts + gestionnaire de mots de passe pour tout le monde Surveillance des connexions anormales (pics de tentatives, IP suspectes, patterns d’échec) Recette simple : “Tout ce qui expose une page de login = actif critique à surveiller et durcir”
Les attaquants industrialisent les tests d’identifiants avec l’IA. À nous d’industrialiser la défense et l’hygiène d’authentification.
Un informaticien nord-coréen embauché par une entreprise américaine de cybersécurité. Premier jour. En moins de 25 minutes, il tente de déployer un malware sur le réseau interne Ce n’est pas une blague.
C’est arrivé chez KnowBe4, spécialiste de la sensibilisation à la cybersécurité. L’ironie s’écrit parfois toute seule.
Le candidat Kyle coche toutes les cases
4 entretiens en visio Compétences techniques solides Références vérifiées Poste 100 % remote Laptop envoyé à une adresse dans l’État de Washington
Sauf que Kyle n’existe pas.
Quand le FBI se rend à l’adresse, ils trouvent bien le laptop.
Mais derrière l’écran : un intermédiaire américain.
Le “salarié”, lui, travaille en réalité depuis la Chine.
Un informaticien nord-coréen, connecté à distance via VPN et bureau distant, qui bosse de nuit pour matcher les horaires US. Dévoué, le gars.
Sa photo LinkedIn ?
Une image générée par IA à partir de stock photos. Suffisamment réaliste pour passer 4 entretiens vidéo. Suffisamment altérée pour ne pas être détectée en recherche inversée. Et Kyle n’est qu’un parmi des centaines.
Les chercheurs de Mandiant (Google) ont déroulé le fil
300+ entreprises US et UK infiltrées Des Fortune 500 Des acteurs de la défense, des médias, de l’industrie
Une seule intermédiaire américaine a utilisé des dizaines d’identités volées pour faire embaucher des Nord-Coréens dans plus de 300 entreprises.
Revenus générés : plusieurs millions de dollars.
Elle vient d’écoper de plusieurs années de prison.
Le schéma est industrialisé.
Sur les CV : Diplômes obtenus à l’étranger, difficiles à vérifier Adresses US “propres” Demandes d’envoi du laptop à une autre adresse Phrases identiques d’un CV à l’autre
En entretien : Personas testés et optimisés (oui, du A/B testing) Des profils qui décrochent le job, puis passent le relais
Ces informaticiens sont liés à l’unité UNC 5267, rattachée au Bureau 121, l’unité de cyberguerre nord-coréenne.
Même écosystème que le Lazarus Group (Sony Pictures, WannaCry, milliards volés en crypto).
Les objectifs sont limpides
Financer le régime Maintenir des accès dormants dans des systèmes critiques Espionnage industriel
Ce que cette histoire révèle est inconfortable.
Nos process de recrutement reposent sur la confiance
CV déclaratifs Diplômes étrangers rarement vérifiés Références survolées Photos jamais authentifiées Entretiens visio “approximatifs” devenus normaux
Face à un État hostile qui industrialise la fraude avec de l’IA et des années d’optimisation, nos défenses sont construites pour un autre monde.
La prochaine fois que vous recrutez un profil tech en remote, avec un diplôme étranger et une demande d’envoi de laptop à une adresse différente…