Ce serait cool si on pouvait réunir les Avengers des LLMs pour les faire bosser ensemble sur de la recherche de faille de sécurité ? OpenAI, Anthropic, X.AI et Meta ensemble contre les forces du mal, c’est maintenant possible avec Deep Eye , un super scanner de vulnérabilités qui transforme les quatre IA rivales en équipe de pentesteurs. Vous allez voir, c’est assez génial !

Deep Eye, c’est donc un outil Python open source qui scanne les sites web et les API pour trouver des vulnérabilités. SQL injection, XSS, command injection, SSRF, path traversal, authentication bypass, au total y’a plus de 45 méthodes d’attaque automatisées. Vous lui indiquez une URL, et il teste tout en switchant entre les services d’IA selon le contexte.

Dans le contexte d’un pentest légitime, Deep Eye a même trouvé comment parler aux IA pour qu’elles acceptent de pondre du code un peu sensible. Et ça tombe bien car chaque IA a ses forces et ses faiblesses. GPT-4 par exemple excelle sur les payloads créatifs et les contournements de filtres. Claude lui est plus méthodique, et capable de mieux analyser le contexte et de génèrer des attaques adaptées au framework détecté. LLAMA en local quand à lui est rapide et ne coûte rien en appels API. Et Grok ? Bah il a le mérite d’être dispo même s’il est loin d’être le meilleur.

Deep Eye en tout cas est capable des les utiliser toutes selon la situation. Pour l’installer, ça se passe en 3 commandes :

Vous installez ça comme ceci :

git clone https://github.com/zakirkun/deep-eye.git
cd deep-eye

cd scripts
./install.ps1

chmod +x scripts/install.sh
cd scripts
./install.sh

python deep_eye.py -u https://example.com

Si vous faites du pentest, il doit vous arriver parfois de lancer un petit bruteforce sur un formulaire un peu pourri, pour tester les mots de passe classiques gens 1234, ou admin…etc. Mais parfois, certains formulaires de connexion donnent envie de se flinguer… Les sélecteurs CSS changent à chaque rafraîchissement, les noms des champs sont aléatoires…etc bref, ça peut vite être un véritable labyrinthe pour automatiser quoi que ce soit.

Heureusement pour vous les amis, le développeur Mor David s’est occupé du problème et a inventé BruteForceAI, un outil de bruteforce qui comme son nom l’indique, embarque une bonne dose d’intelligence artificielle.

La petite subtilité donc avec BruteForceAI, c’est qu’il ne se contente pas de lancer des milliers de combinaisons en mode berserk. Non, l’outil étudie d’abord la page HTML avec un modèle de langage qui comprend la structure du formulaire. Cette première phase atteint un joli 95% de précision dans l’identification des éléments de connexion, comme ça plus besoin de passer des heures à mapper manuellement les sélecteurs CSS.

C’est un système en deux temps où l’IA déchiffre d’abord le HTML et génère automatiquement les sélecteurs CSS nécessaires. Puis seulement après, l’attaque démarre avec des comportements qui imitent un humain : délais aléatoires, rotation des user-agents, logique de retry intelligente. L’outil peut même détecter les changements dans le DOM pour valider qu’une connexion a réussi.

Pour faire tourner la bête, il vous faudra Python 3.8+, Playwright pour l’automatisation du navigateur, et un modèle LLM. Vous avez le choix entre Ollama en local avec llama3.2:3b (pratique pour rester discret) ou Groq dans le cloud avec llama-3.3-70b-versatile si vous voulez plus de puissance.

Les modes d’attaque proposés sont assez classiques mais efficaces… Par exemple, le mode Brute-Force teste exhaustivement toutes les combinaisons possibles, tandis que le mode Password-Spray est plus subtil puisqu’il teste chaque mot de passe sur plusieurs comptes pour éviter les blocages après X tentatives échouées. Cette dernière technique est d’ailleurs redoutable contre les entreprises qui imposent des politiques de mots de passe uniformes.

D’après une analyse récente de CipherX Labs , l’IA rend le cracking de mots de passe 100 fois plus rapide qu’avec les méthodes traditionnelles. Un mot de passe de 10 caractères, même avec majuscules, minuscules et symboles, est maintenant considéré comme faible. L’aspect éthique est évidemment crucial ici et Mor David insiste sur le fait que l’outil est uniquement destiné aux tests de sécurité autorisés, à la recherche et aux programmes de bug bounty. Si vous faites des choses illégales avec ça, vous irez obligatoirement en prison et ce sera bien fait pour vous !

BruteForceAI dispose aussi d’un système de notifications plutôt bien pensé. Quand l’outil trouve des identifiants valides, il peut vous prévenir via Discord, Slack, Teams ou Telegram. Tout est loggé dans une base SQLite pour l’analyse post-attaque. Le côté multi-threadé permet aussi de lancer plusieurs attaques en parallèle, avec des timing humains pour éviter la détection.

Alors pour se défendre contre ce genre d’outils, les méthodes classiques ne suffisent plus… Par exemple, compter les tentatives de connexion échouées, c’est un peu has been… Non, maintenant il vous faut des systèmes de détection comportementale qui analysent les patterns d’accès en temps réel, du type UEBA (User and Entity Behavior Analytics). Les entreprises qui n’ont pas encore intégré ce genre de solutions sont aujourd’hui des cibles faciles pour les cybercriminels.

En plus, PassGAN et d’autres outils similaires apprennent à partir des bases de données de mots de passe qui ont fuité…. Plus il y a de fuites, plus l’IA devient efficace pour prédire les prochains mots de passe. C’est un cercle vicieux où chaque fuite de données nourrit la machine qui causera les prochaines fuites de données…

Maintenant si vous voulez tester BruteForceAI (sur vos propres systèmes, hein), l’installation est simple :

clonez le repo, installez les dépendances avec pip, téléchargez un des navigateurs Playwright, et c’est parti. Les commandes de base ressemble à ça :

# Etape 1: Analyser le formulaire
python main.py analyze --urls targets.txt --llm-provider ollama --llm-model llama3.2:3b

# Etape 2: Attaquer avec 20 threads
python main.py attack --urls targets.txt --usernames users.txt --passwords passwords.txt --threads 20 --delay 5 --jitter 2