Une exploitation de Jour Zéro a secoué la sécurité en exploitant une erreur logique dans un système 2FA. La vulnérabilité résidait dans une hypothèse codée par le développeur, qui faisait aveuglément confiance à la vérification. Google a confirmé qu'il s'agit du premier cas où ils trouvent des preuves d'utilisation de l'intelligence artificielle dans l'attaque, bien qu'ils précisent que leur modèle Gemini n'a pas été utilisé.
La défaillance technique : une confiance mal placée dans le code 🛡️
L'erreur est survenue lorsque le programmeur a supposé que le deuxième facteur était infaillible et n'a pas correctement validé les jetons. Les attaquants ont exploité cette logique défectueuse pour contourner l'authentification sans avoir besoin d'intercepter les codes SMS ou les applications. L'analyse médico-légale de Google a révélé des schémas de comportement automatisés, indiquant que l'IA a été utilisée pour identifier et reproduire le flux de validation, mais pas pour générer du contenu ou interagir directement avec le système.
IA vs. 2FA : quand la machine se moque de ton jeton 🤖
Il s'avère que l'intelligence artificielle n'est pas venue voler ton travail, mais contourner ton double facteur d'authentification. Pendant que tu transpirais à chercher le code sur ton mobile, une IA avait déjà déduit que le système te faisait confiance sans poser deux fois la question. Au moins, on peut se consoler : ce n'est pas Gemini qui t'a piraté, juste une intelligence artificielle anonyme qui, comme un bon voisin, savait que la porte était ouverte.