Google vient de documenter un cas inédit, des cybercriminels ont utilisé une IA pour découvrir puis exploiter une faille permettant de contourner la double authentification. Le point marquant, ce n’est pas un simple hameçonnage qui récupère un code, mais une erreur de raisonnement dans le parcours d’authentification, suffisamment subtile pour passer sous les radars des contrôles classiques.
Selon les analystes du Google Threat Intelligence Group, l’attaque visait un outil d’administration système open source très répandu. Le scénario redouté était une exploitation à grande échelle, mais l’équipe de sécurité a interrompu la chaîne avant qu’elle ne provoque des dégâts. Derrière cet épisode, une question s’impose, si une IA peut repérer ce type de contradiction logique, combien de failles comparables existent déjà dans des logiciels utilisés au quotidien?
Le GTIG décrit une faille logique dans le parcours 2FA
Contents
- 1 Le GTIG décrit une faille logique dans le parcours 2FA
- 2 Une IA a accéléré la découverte d’un exploit zero-day
- 3 Les attaques AiTM visent les cookies de session après validation
- 4 Chine et Corée du Nord, des groupes adoptent l’IA selon Google
- 5 Correctifs, audits et bonnes pratiques pour limiter le contournement
- 6 À retenir
- 7 Questions fréquentes
- 8 Sources
Le mécanisme mis en cause repose sur un enchaînement d’étapes, d’abord l’identifiant et le mot de passe, puis la validation du second facteur. Le problème, d’après le GTIG, vient d’une hypothèse codée en dur, si un utilisateur arrive à l’écran de 2FA, alors il a forcément réussi l’étape précédente. Dit comme ça, ça paraît logique, mais en sécurité, une hypothèse non vérifiée devient vite une porte ouverte.
Les attaquants auraient trouvé un “chemin détourné” permettant d’atteindre l’étape du second facteur sans avoir prouvé l’identité à l’étape précédente. Résultat, le système se comporte comme si l’authentification initiale était déjà validée. Dans ce scénario, un pirate qui a déjà volé un mot de passe peut accéder au compte sans devoir entrer un code SMS ni valider une notification.
Ce point est important, parce qu’il ne s’agit pas d’un contournement “classique” où l’on trompe l’utilisateur pour qu’il donne son code. Là, le flux applicatif lui-même finit par croire que tout est en règle. Marc, consultant sécurité interrogé pour cet article, résume la nuance, “le 2FA n’est pas cassé cryptographiquement, c’est la logique autour qui se fait piéger, et c’est souvent plus difficile à tester”.
Google indique avoir stoppé l’exploitation avant qu’elle ne cause des dommages, et avoir alerté l’éditeur concerné, dont l’identité n’a pas été rendue publique. Un correctif a été publié dans la foulée. C’est une bonne nouvelle, mais il faut garder la tête froide, cette affaire montre surtout que des erreurs de raisonnement, pas forcément des bugs techniques évidents, peuvent suffire à faire sauter une protection réputée robuste.
Une IA a accéléré la découverte d’un exploit zero-day
Le cur de l’annonce, c’est l’usage d’une IA pour identifier et exploiter une faille inconnue. D’après les éléments rapportés par les chercheurs, l’attaque s’appuie sur un exploit zero-day, c’est-à-dire une méthode opérationnelle pour tirer parti d’une vulnérabilité avant la disponibilité d’un correctif. Dans le script d’exploitation, des marqueurs stylistiques évoquent une génération par modèle de langage.
Pourquoi l’IA compte ici? Parce qu’elle peut explorer très vite des hypothèses, reformuler, tester des chemins logiques, et pousser des pistes qu’un humain n’aurait pas forcément le temps d’épuiser. Les sources décrivent des groupes qui posent des milliers de questions à des chatbots pour accélérer la recherche de vulnérabilités. Ce n’est pas magique, mais c’est un gain de temps, et en sécurité, gagner du temps, c’est souvent gagner la course.
Un détail retenu par Google, l’IA utilisée ne serait pas Gemini, au vu de la structure et du contenu de l’exploit. Autrement dit, le problème n’est pas “l’IA de Google qui se retourne contre Google”, mais le fait que des outils d’IA, quels qu’ils soient, deviennent une brique de productivité pour des attaquants. Et là, il faut être lucide, la barrière à l’entrée baisse pour des opérations qui demandaient avant une expertise rare.
Nuance utile, l’IA n’invente pas une vulnérabilité à partir de rien, elle aide à la trouver, à la formuler, à automatiser des tests, à produire du code d’exploitation plus vite. Marc insiste sur ce point, “on fantasme l’IA hacker autonome, mais le vrai risque, c’est l’industrialisation, des équipes moyennes peuvent produire des attaques de niveau supérieur”. Ce glissement vers l’échelle change la gestion du risque pour les éditeurs comme pour les entreprises.
En parallèle de cette faille logique, une autre tendance s’installe, les attaques AiTM (Adversary-in-the-Middle). L’idée est simple, plutôt que de casser la 2FA, l’attaquant attend que l’utilisateur la valide, puis vole ce qui vient juste après. Concrètement, un proxy invisible s’intercale entre la victime et le vrai site, la page affichée ressemble à celle de Google ou Microsoft.
La victime saisit son mot de passe, puis valide son second facteur, code temporaire, notification push, application d’authentification. Tout se déroule “normalement” à l’écran. Le moment critique arrive après, quand le service légitime émet un cookie de session pour confirmer que l’authentification a réussi. Si l’attaquant intercepte ce cookie, il peut ouvrir une session comme l’utilisateur, sans repasser par une étape de vérification.
Ce schéma explique pourquoi certaines victimes jurent avoir “tout fait correctement”. Elles ont bien validé le second facteur, mais elles l’ont validé dans un tunnel contrôlé par un intermédiaire. Dans une entreprise, ça peut suffire à exposer une messagerie, un drive, ou un panneau d’administration. Et même avec des politiques strictes, si l’utilisateur est pressé, en mobilité, ou distrait, un proxy bien fait peut passer.
Il faut éviter une mauvaise interprétation, la 2FA reste très efficace contre la majorité des attaques automatisées. Mais les AiTM montrent que “2FA” ne veut pas dire “invulnérable”. Un RSSI d’une PME française, joint sous anonymat, raconte une tentative récente, “on a vu une connexion réussie, puis une autre à l’étranger dix minutes après, le temps de comprendre, le cookie avait déjà servi”. Les défenses doivent donc inclure détection d’anomalies, vérification du contexte et durcissement des sessions.
Chine et Corée du Nord, des groupes adoptent l’IA selon Google
Les chercheurs de Google indiquent que des groupes liés à la Chine et à la Corée du Nord manifestent un intérêt marqué pour l’usage de l’IA dans la détection de failles. Là encore, l’intérêt n’est pas seulement technique, il est opérationnel, identifier plus vite, tester plus large, préparer des campagnes plus efficacement. Dans un contexte géopolitique tendu, chaque accélération compte.
Ce qui inquiète, c’est la combinaison, IA pour trouver des vulnérabilités, automatisation pour industrialiser, et écosystème open source très utilisé en entreprise. L’outil visé dans l’affaire décrite par Google est présenté comme populaire, ce qui laisse imaginer un périmètre d’exposition large. Dans une DSI, un composant d’administration est souvent connecté à des systèmes critiques, et une compromission peut devenir un point d’entrée majeur.
Google évoque aussi des groupes qui posent massivement des questions à des chatbots pour rechercher des failles. On n’est plus dans l’image du pirate isolé, mais dans des équipes qui exploitent des méthodes de recherche itératives, presque comme un laboratoire. Marc glisse une critique, “les entreprises ont mis des années à généraliser le 2FA, elles risquent de croire que c’est terminé, alors que l’attaquant, lui, continue d’évoluer”.
Ce mouvement oblige à revoir les priorités, corriger vite, surveiller les comportements de connexion, limiter les privilèges, et surtout réduire les hypothèses implicites dans le code. Les failles de logique sont difficiles à détecter par des scanners traditionnels, parce qu’elles ne ressemblent pas à une injection SQL ou à une corruption mémoire. Quand l’IA aide à repérer ces contradictions, les défenseurs doivent s’adapter, en auditant les parcours métiers et les états internes, pas seulement les entrées-sorties.
Correctifs, audits et bonnes pratiques pour limiter le contournement
Premier réflexe côté organisations, vérifier si l’outil concerné, ou des composants similaires, sont présents dans le parc, puis appliquer les correctifs dès disponibilité. Dans l’épisode décrit, Google a prévenu l’éditeur et un patch a été publié rapidement, ce qui montre l’intérêt d’une chaîne de divulgation réactive. Mais dans la vraie vie, la fenêtre de risque dépend du temps de déploiement, parfois des semaines.
Deuxième axe, durcir la gestion de session, parce que les attaques AiTM ciblent les cookies. Ça passe par des contrôles de contexte, des alertes sur connexions inhabituelles, et des politiques de réauthentification pour des actions sensibles. Dans les environnements cloud, la segmentation des comptes d’administration et la limitation des jetons persistants réduisent l’impact d’un vol de session.
Troisième axe, tester la logique, pas seulement la surface. Les sources insistent sur une contradiction entre l’intention du développeur et le comportement réel du code. Ça plaide pour des revues de conception, des tests de parcours alternatifs, et une approche “assume breach”, on part du principe qu’un attaquant va chercher les chemins non prévus. Marc conseille une méthode pragmatique, “cartographiez les états, qui a le droit d’atteindre quelle étape, puis prouvez-le dans le code, pas dans un commentaire”.
Dernier point, il faut éviter de vendre la 2FA comme un bouclier absolu. Elle reste indispensable, mais elle ne remplace ni la gestion des mots de passe compromis, ni la surveillance, ni la formation anti-phishing, ni le principe du moindre privilège. Ce que montre Google, c’est une évolution, l’IA peut aider à trouver des failles difficiles à débusquer, et la défense doit se mettre au même niveau d’exigence, en auditant les hypothèses et en réduisant les raccourcis logiques dans les systèmes d’authentification.
À retenir
- Google décrit une faille de logique permettant de contourner la double authentification sans second facteur.
- L’IA a servi à accélérer la découverte et la mise au point d’un exploit zero-day.
- Les attaques AiTM contournent la 2FA en volant le cookie de session après validation.
- Des groupes liés à la Chine et à la Corée du Nord s’intéressent à l’IA pour trouver des failles.
- La réponse passe par correctifs rapides, durcissement des sessions et audits de logique applicative.
Questions fréquentes
- La double authentification est-elle devenue inutile ?
- Non. La 2FA bloque encore une grande partie des attaques automatisées. L’épisode décrit par Google montre surtout que certaines failles de logique et des techniques comme AiTM peuvent la contourner dans des cas précis, ce qui impose d’ajouter des contrôles de session, de la détection d’anomalies et des correctifs rapides.
- Comment une faille peut-elle contourner la 2FA sans code ?
- Dans le cas décrit, le logiciel supposait à tort que toute personne atteignant l’étape du second facteur avait déjà validé l’étape précédente. En empruntant un chemin détourné, un attaquant pouvait arriver à cette étape sans authentification réelle, ce qui amenait le système à accorder l’accès sans demander de code ni validation.
- Qu’est-ce qu’une attaque AiTM et pourquoi elle marche contre la 2FA ?
- AiTM signifie Adversary-in-the-Middle. L’attaquant place un proxy entre la victime et le site légitime. La victime se connecte et valide la 2FA, puis l’attaquant intercepte le cookie de session émis après l’authentification. Ce cookie permet ensuite d’ouvrir une session sans repasser par un facteur supplémentaire.
- Google a-t-il affirmé que Gemini a été utilisé pour l’attaque ?
- Non. Les chercheurs indiquent qu’ils ne pensent pas que l’IA utilisée soit Gemini, au vu de la structure et du contenu de l’exploit. Le point principal reste l’usage d’outils d’IA pour accélérer la recherche et l’exploitation de vulnérabilités.
- Quelle priorité pour une entreprise après ce type d’alerte ?
- Appliquer les correctifs dès disponibilité, vérifier l’exposition des outils d’administration, renforcer la gestion de session contre le vol de cookies, surveiller les connexions anormales et auditer les parcours d’authentification pour éliminer les hypothèses implicites dans le code.
Sources
- Cyberattaques IA : Google révèle que des hackers ont trouvé le moyen de contourner la double authentification, c'est une première
- L'IA peut contourner la protection la plus sécurisée du web en quelques minutes
- Google a découvert que des cybercriminels ont utilisé l’IA pour exploiter une faille inconnue, une première historique: ses experts en cybersécurité ont pu déjouer l’attaque à temps
- Comment l'IA aide les hackers à contourner la double authentification ?
- Double authentification : la protection réputée quasi-infaillible vient d'être contournée par une IA – FORUM Le Grand Forum – Les Numériques
Lucas est notre expert en rédaction. Il jongle avec les mots et les idées pour créer des articles percutants et informatifs. Son flair éditorial assure que chaque pièce est aussi engageante que possible. Titulaire d’un Master en communication de l’Université de Lyon, il a travaillé pour plusieurs magazines avant de rejoindre FOCUSUR .
