● Les Numériques Télécom 📅 12/05/2026 à 08:09

Data Science 👤 Aymeric Geoffre-Rouland

🏷️ Tags : llm vulnérabilités cert pto python réseau rte

Double authentification : la protection réputée quasi-infaillible vient d'être contournée par une IALa 2FA reste fiable, mais l'IA sait où les développeurs se trompent Par Aymeric Geoffre-Rouland Publié le 12/05/26 à 06h09 Nos réseaux : Suivez-nous Ajoutez nous à vos favoris Google Commenter 3 © tsingha25 - La double authentification protège des millions de comptes au quotidien. Un rapport de Google révèle qu'une IA a su en repérer une faille que les outils classiques ne pouvaient pas détecter. La double authentification fait partie de ces réflexes que la communauté cyber recommande sans réserve : même si votre mot de passe fuit, le second facteur tient la porte. Et le principe reste valide, même si ses limites sont documentées depuis plusieurs années. Encore faut-il que son implémentation le soit aussi. Le rapport publié le 11 mai 2026 par le GTIG montre ce qui se passe quand le code comporte un angle mort, et qu'une IA le repère.L'exploit identifié par les analystes de Google vise un outil d'administration web largement déployé. Le problème ne touche pas le mécanisme cryptographique de la 2FA, qui reste robuste. Il réside dans une décision du développeur : une exception codée en dur dans la logique d'application. Concrètement, le code imposait bien une vérification en deux étapes, mais prévoyait un raccourci silencieux dans certains cas de figure. Une contradiction dormante, invisible aux scanners traditionnels.Des acteurs cybercriminels avaient prévu de l'exploiter à grande échelle. La découverte proactive du GTIG a vraisemblablement permis d'empêcher l'opération, et la faille a été divulguée de manière responsable au fournisseur concerné. Les LLM de pointe excellent à identifier ces failles de haut niveau et ces anomalies statiques codées en dur [...] en corrélant la logique d'application de la 2FA avec les contradictions de ses exceptions.Ce que les scanners ne voient pas, le LLM le comprendCapacités comparées des mécanismes de découverte de vulnérabilités. Les LLM se distinguent sur les failles de logique sémantique et les anomalies codées en dur.© GTIG, mai 2026.Les outils d'analyse classiques recherchent des défauts techniques : corruptions mémoire, injections, points d'entrée mal protégés. Ils le font avec une grande efficacité. Mais la faille documentée ici relève d'un autre registre. Elle exige de comprendre l'intention du développeur, puis de localiser l'endroit précis où le code la contredit. Les modèles de pointe peinent encore à naviguer dans la logique d'autorisation complexe des environnements d'entreprise, mais leur capacité à raisonner contextuellement progresse.C'est précisément ce type de raisonnement qu'un LLM sait produire. Le script Python associé à l'exploit porte d'ailleurs les traces caractéristiques d'une génération assistée : docstrings pédagogiques, score CVSS halluciné, formatage académique typique des données d'entraînement. Les analystes du GTIG estiment avec un haut niveau de confiance qu'un modèle de langage a contribué à sa conception.Extrait de l'exploit : le formatage académique, les docstrings abondantes et le score CVSS halluciné signalent une production assistée par modèle de langage.© GTIG, mai 2026.La 2FA reste essentielle, son implémentation devient critiqueSur le fond, rien ne change pour le grand public : la double authentification demeure l'une des protections les plus efficaces à disposition, et le réflexe de l'activer partout reste pleinement pertinent.La question que pose ce rapport s'adresse à ceux qui conçoivent et déploient ces mécanismes. Combien d'implémentations portent, enfouies dans leur logique d'exception, des raccourcis similaires ? L'IA offensive lit désormais le code avec l'acuité d'un auditeur expert. Chaque ligne de logique d'authentification devra être écrite en conséquence. Suivez toute l'actualité des Numériques sur Google Actualités et sur la chaîne WhatsApp des Numériques Envie de faire encore plus d'économies ? Découvrez nos codes promo sélectionnés pour vous.

🔗 Lire l'article original 👁️ 0 lecture