BruteForceAI : l'intelligence artificielle au service des tests d'intrusion

L'automatisation des tests de sécurité franchit une nouvelle étape avec BruteForceAI, un outil qui utilise des modèles de langage pour analyser automatiquement les formulaires de connexion et optimiser les attaques par force brute. Développé par Mor David, ce framework révolutionne les méthodes traditionnelles en combinant l'analyse intelligente des formulaires avec des techniques d'évasion sophistiquées.

Origines et contexte technologique

Les attaques par force brute existent depuis les débuts de l'informatique, mais elles souffrent de limitations importantes : analyse manuelle fastidieuse des formulaires, taux d'échec élevé face aux protections modernes, et difficulté d'adaptation aux structures HTML variées. BruteForceAI répond à ces défis en intégrant des modèles de langage (LLM) avec l'automatisation de navigateurs pour identifier automatiquement les formulaires de connexion et conduire des attaques sophistiquées.

Lancé récemment sur GitHub, l'outil s'appuie sur des technologies éprouvées comme Playwright pour l'automatisation de navigateurs et propose une intégration avec Ollama (local) ou Groq (cloud) pour l'analyse par IA.

Fonctionnement en deux phases distinctes

BruteForceAI opère selon un processus en deux étapes. En phase 1, l'outil exploite un LLM pour parser le contenu HTML et identifier les éléments de formulaire de connexion avec une précision remarquable pouvant atteindre 95% lors de tests réels. Le modèle examine les structures de pages, les champs de saisie et les points de soumission, générant automatiquement les sélecteurs CSS précis nécessaires à l'exploitation.

La phase 2 lance l'attaque proprement dite en utilisant les sélecteurs découverts par l'IA. L'outil prend en charge les modes brute-force et password spray, tout en ajoutant de petits délais, des timings aléatoires et des chaînes user-agent variées pour éviter la détection. Cette approche multi-threadée simule un comportement humain réaliste.

L'installation nécessite Python 3.8+, les navigateurs Playwright et quelques bibliothèques standard. Après avoir cloné le dépôt GitHub et exécuté pip install -r requirements.txt, les utilisateurs configurent leur LLM préféré : local (Ollama) ou cloud (Groq).

Applications pratiques et retours terrain

Les tests révèlent plusieurs avantages concrets. L'automatisation de la détection des formulaires élimine le travail manuel de recherche des sélecteurs CSS, souvent source d'erreurs. Les testeurs peuvent recevoir des notifications webhook via des services comme Discord, Slack, Teams ou Telegram, facilitant le suivi en temps réel.

Pour les équipes red team, l'outil propose une base SQLite complète pour la journalisation, un système de rotation des user-agents, et la gestion automatique des tentatives en double. Les fonctionnalités d'évasion incluent des délais aléatoires, des patterns de timing humains, et la détection des changements DOM pour valider le succès.

Les limitations actuelles concernent principalement la dépendance aux modèles de langage et la focalisation sur l'authentification standard par nom d'utilisateur/mot de passe. L'outil est explicitement conçu pour les tests d'intrusion autorisés, la recherche en sécurité et les objectifs éducatifs ; l'utilisation abusive contre des systèmes non autorisés est illégale et contraire à l'éthique.

BruteForceAI marque une évolution significative des outils de test de crédentiels en automatisant la détection de formulaires et en enrichissant les méthodologies de force brute avec une intelligence pilotée par l'IA. Cette approche permet aux équipes de sécurité d'identifier les faiblesses d'authentification avec rapidité et précision. Le projet est disponible gratuitement sur GitHub.