Créa-blog

#100JoursPourCoder
Projet Créa-code

Ressources pour développeur web

BruteForce AI : Tutoriel pour l’outil de test d’intrusion

⏱️ Temps de lecture estimé : 7 minutes
Accueil Sécurité BruteForce AI : Tutoriel pour l’outil de test d’intrusion

Dans le monde de la cybersécurité, les tests d’intrusion sont essentiels pour évaluer la robustesse des systèmes face aux attaques. Parmi les outils émergents, BruteForce AI se distingue par son utilisation de l’intelligence artificielle pour automatiser et affiner les attaques par force brute.

Ce tutoriel complet vous guidera à travers les fonctionnalités, l’installation, l’utilisation, et des exemples pratiques de cet outil.

Qu’est-ce que BruteForce AI ?

BruteForce AI est un outil de test d’intrusion avancé qui intègre des modèles de langage de grande taille (LLM) pour analyser intelligemment les formulaires de connexion. Contrairement aux méthodes traditionnelles, il détecte automatiquement les sélecteurs de formulaires de connexion et exécute des attaques multithreadées avec des comportements humains réalistes.

À quoi sert BruteForce AI ?

BruteForce est un outil conçu pour :

Automatiser l’analyse des formulaires de connexion : Identification des champs de connexion sans configuration manuelle (Exemple : WordPress admin).

Effectuer des attaques par force brute intelligentes : Utilisation de l’IA pour simuler des comportements humains et éviter les détections.

Améliorer l’efficacité des tests d’intrusion : Réduction du temps et des efforts nécessaires pour tester la sécurité des systèmes.

Fonctionnement de BruteForceAI

L’outil BruteForce AI utilise un modèle de langage (comme Ollama ou Groq) pour analyser le contenu HTML d’une page web et identifier automatiquement les éléments du formulaire de connexion (champs de saisie, boutons, etc.).

BruteForce AI fonctionne en plusieurs étapes :

  1. Analyse du formulaire de connexion : L’outil scanne la page pour identifier les champs de connexion.
  2. Simulation de comportements humains : Il imite les actions humaines pour éviter les détections.
  3. Exécution de l’attaque : L’outil tente différentes combinaisons de mots de passe pour accéder au système cible.

Modes d’attaque avancés :

  • Brute-force : Essaye toutes les combinaisons possibles de noms d’utilisateur et de mots de passe.
  • Password spraying : Teste un mot de passe commun sur plusieurs comptes.
  • Comportement humain simulé : L’outil imite les actions humaines en introduisant des délais synchronisés, des rotations d’agents utilisateurs et des variations aléatoires pour éviter la détection.
  • Notifications et journalisation : Les résultats peuvent être envoyés via des webhooks (Discord, Slack, Teams, Telegram) et sont enregistrés dans une base de données SQLite pour un suivi détaillé.

Le Password spraying avec BruteForce AI est une méthode d’attaque où un pirate essaie d’accéder à de nombreux comptes en ligne. Au lieu d’essayer plein de mots de passe différents sur un seul compte (ce qui déclencherait des alarmes), il va essayer un seul mot de passe très courant sur une très grande quantité de comptes différents. Imagine qu’il jette un « spray » de mots de passe communs comme « Azerty123 » ou « Password2024 » sur des milliers d’utilisateurs.

Quand on ajoute l’IA (Intelligence Artificielle) à ce « BruteForce », cela signifie que l’IA va aider le pirate à choisir les mots de passe les plus probables ou à cibler les comptes les plus vulnérables. L’IA peut analyser des données pour deviner les mots de passe les plus souvent utilisés ou trouver des schémas, rendant l’attaque plus efficace et plus difficile à détecter. C’est comme un criminel qui utilise des outils très sophistiqués pour trouver la « clé universelle » qui ouvre le plus grand nombre de portes.

Utilisation éthique et légale

BruteForceAI est conçu pour des tests de pénétration autorisés, des évaluations de sécurité et des programmes de bug bounty. Son utilisation sans autorisation explicite est illégale et contraire à l’éthique.

Avantages de BruteForce AI

  • Automatisation avancée : Détection automatique des formulaires de connexion.
  • Comportement humain simulé : Réduction des risques de détection par les systèmes de sécurité.
  • Efficacité accrue : Réalisation d’attaques multithreadées pour accélérer les tests.
  • Interface conviviale : Facilité d’utilisation même pour les utilisateurs moins expérimentés.

Vitesse améliorée via l’IA : L’IA peut prédire des modèles de mots de passe probables basés sur des bases de données de fuites et des habitudes humaines, ce qui réduit drastiquement le temps nécessaire par rapport à un brute force classique qui teste toutes les combinaisons possibles.

Attaque “intelligente” : L’outil ne se contente pas de tester toutes les combinaisons aléatoires : il peut générer des mots de passe contextuels selon le type de cible (email, réseau social, CMS, etc.), augmentant le taux de réussite.

Capacité à apprendre et s’adapter : Les systèmes AI peuvent ajuster leur stratégie en temps réel selon les échecs et succès, par exemple en ciblant des structures de mots de passe plus probables après quelques essais.

Automatisation avancée : BruteForce AI peut gérer plusieurs vecteurs de mots de passe simultanément et intégrer des dictionnaires intelligents, réduisant le besoin d’intervention humaine.

Optimisation des ressources : L’IA peut prioriser les tentatives les plus probables, économisant la puissance de calcul et réduisant le temps global de l’attaque.

Limites de BruteForce AI :

BruteForceAi n’est pas non plus un outil magique, il comporte plusieurs limites :

Dépendance à la qualité des données : Si l’IA n’a pas accès à des bases de données de mots de passe pertinents ou à des informations contextuelles sur la cible, son efficacité diminue fortement.

Ne contourne pas les protections modernes : Les systèmes utilisant 2FApasskeys, ou des politiques de verrouillage après plusieurs essais échoués ne sont pas vulnérables simplement parce qu’on utilise de l’IA.

Ressources nécessaires : Les modèles IA peuvent être gourmands en GPU et RAM pour générer des prédictions, surtout sur de grandes cibles.

Limites légales et éthiques : L’utilisation d’un tel outil est strictement réglementée. Même pour des tests de pénétration, une autorisation explicite est obligatoire.

Risque de faux sentiment de sécurité : Les utilisateurs pourraient croire que l’IA garantit le succès. En réalité, elle augmente seulement les chances en ciblant mieux, mais n’attaque pas miraculeusement tous les mots de passe.

Nécessite une configuration initiale : Bien que l’outil soit automatisé, une configuration initiale est requise.

Formation web et informatique - Alban Guillier - Formateur

Des formations informatique pour tous !

Débutant ou curieux ? Apprenez le développement web, le référencement, le webmarketing, la bureautique, à maîtriser vos appareils Apple et bien plus encore…

Formateur indépendant, professionnel du web depuis 2006, je vous accompagne pas à pas et en cours particulier, que vous soyez débutant ou que vous souhaitiez progresser. En visio, à votre rythme, et toujours avec pédagogie.

Découvrez mes formations Qui suis-je ?

Dépendance à la qualité des modèles LLM : L’efficacité de l’outil dépend des modèles d’IA utilisés.

Peut être détecté par des systèmes de sécurité avancés : Bien que conçu pour simuler des comportements humains, certains systèmes de sécurité peuvent détecter l’activité.

Différences et comparaison avec Hydra et John the Ripper

BruteForceAI se distingue de John the Ripper et Hydra par son approche innovante intégrant l’intelligence artificielle (IA) pour automatiser l’identification des formulaires de connexion et l’exécution d’attaques par force brute.

Contrairement à John the Ripper et Hydra, qui nécessitent souvent une configuration manuelle et sont principalement axés sur le craquage de mots de passe ou l’attaque de services spécifiques, BruteForceAI offre une solution plus automatisée et adaptée aux tests de pénétration modernes.

Tableau comparatif

FonctionnalitéBruteForceAIJohn the RipperHydra
Type d’attaqueAttaque par force brute sur formulaires webCraquage de mots de passe à partir de fichiers hashAttaque par force brute sur services réseau (SSH, FTP, HTTP, etc.)
Identification automatique des formulaires✅ Oui, via IA (LLM) pour détecter les sélecteurs de formulaire❌ Nécessite une configuration manuelle des cibles et des paramètres❌ Nécessite une configuration manuelle des cibles et des paramètres
Modes d’attaqueBruteforce, Password SprayBruteforce, mode incrémental, dictionnaireBruteforce, dictionnaire, mode par défaut
Simulation du comportement humain✅ Délais synchronisés, rotations d’agents utilisateurs, notifications webhook❌ Pas de simulation du comportement humain❌ Pas de simulation du comportement humain
Multi-threading✅ Oui, jusqu’à 100+ threads✅ Oui, mais limité par la capacité de la machine✅ Oui, configurable selon les ressources
Enregistrement des tentatives✅ Oui, avec journalisation SQLite et reprise des attaques✅ Oui, mais nécessite une configuration manuelle et des scripts externes✅ Oui, avec possibilité d’exporter les résultats
Plateformes supportéesWindows, Linux, macOSWindows, Linux, macOSWindows, Linux, macOS
Utilisation principaleTests de pénétration web, audits de sécurité des formulaires de connexionTests de sécurité des mots de passe, audits de sécurité des systèmesTests de pénétration des services réseau, audits de sécurité des services
LicenceOpen-source (GitHub)Open-source (GPL)Open-source (GPL)

Quelles cibles peuvent être viser par BruteForce AI

BruteForce AI peut cibler :

Sites web avec formulaires de connexion : Pour tester la robustesse des systèmes d’authentification. Login avec email / mot de passe. commerce, applications internes, etc.)

Applications web : BruteForceAI peut analyser automatiquement le HTML pour identifier les champs de connexion et simuler des tentatives humaines.

Systèmes internes : Lors de tests d’intrusion internes pour évaluer la sécurité des réseaux.

Comptes utilisateurs en ligne : Sites où plusieurs comptes existent et où l’on peut tester des combinaisons de noms d’utilisateur / mots de passe pour détecter des failles de sécurité.

Ce que BruteForceAI ne cible pas

  • Services réseau (SSH, FTP, SMTP, RDP) → Hydra ou John the Ripper sont plus adaptés ici.
  • Hashs de mots de passe stockés localement → John the Ripper est plus efficace.
  • Tout système sans formulaire web ou sans interface exploitable par HTTP.

Installation de BruteForce AI

Prérequis

  • Python 3.8 ou supérieur : Assurez-vous d’avoir une version compatible de Python installée.
  • Bibliothèques nécessaires : Installez les bibliothèques requises via pip.

Étapes d’installation

  1. Clonez le dépôt GitHub : git clone https://github.com/MorDavid/BruteForceAI.git
  2. Installez les dépendances : pip install -r requirements.txt
  3. Lancez l’outil : python BruteForceAI.py

Utilisation de BruteForce AI

Lancer une attaque. Pour démarrer une attaque, exécutez la commande suivante :

python BruteForceAI.py --url <URL cible> --username <nom d'utilisateur> --password-list <chemin vers la liste de mots de passe>

Options disponibles

  • --url : URL du formulaire de connexion cible.
  • --username : Nom d’utilisateur à tester.
  • --password-list : Chemin vers le fichier contenant la liste de mots de passe.

Cas pratiques

Cas 1 : Test d’un site web interne

Vous travaillez dans une entreprise et souhaitez tester la sécurité du portail interne. En utilisant BruteForce AI, vous pouvez identifier les points faibles du système d’authentification et proposer des améliorations.

Préparer le site à tester

Avant tout, assurez-vous que :

  • Vous êtes propriétaire du site ou avez l’autorisation écrite du propriétaire.
  • Vous connaissez l’URL complète (par exemple https://monsite.fr/login).
  • Vous disposez d’un compte test si vous voulez tester un formulaire de connexion, pour éviter de bloquer le site réel ou ses utilisateurs.

Identifier la cible pour le test

BruteForceAI peut tester :

  • Les pages de login (formulaire avec utilisateur/mot de passe)
  • Les formulaires protégés par authentification

Pour un test sécurisé, vous devez savoir :

  • L’URL exacte du formulaire de login.
  • Le nom des champs dans le formulaire (usernamepasswordemail, etc.)
  • Les méthodes HTTP utilisées (POST ou GET).

Si vous utilisez un navigateur, vous pouvez faire un clic droit sur le formulaire et Inspecter l’élément pour voir les noms des champs.

Préparer votre fichier de mots de passe et utilisateurs

BruteForceAI utilise des listes de mots de passe ou de noms d’utilisateur pour tester les combinaisons.

  • Créez un fichier users.txt contenant les identifiants de test.
  • Créez un fichier passwords.txt avec les mots de passe que vous souhaitez tester.

Important : ne mettez jamais de vrais mots de passe de clients ou de comptes réels.

Exemple :

users.txt

testuser
admin
user1

passwords.txt

password123
admin123
test2025

Lancer le test sur votre site

  1. Ouvrez le terminal et placez-vous dans le dossier BruteForceAI :
cd ~/BruteForceAI
  1. Lancez BruteForceAI avec la commande :
python3 BruteForceAI.py
  1. Suivez le menu de BruteForceAI :
  • Choisissez cibler un site web
  • Entrez l’URL du formulaire de login
  • Sélectionnez les fichiers users.txt et passwords.txt

BruteForceAI va tester toutes les combinaisons et vous montrer si l’un des mots de passe correspond.

Vérifier les résultats

  • BruteForceAI affichera les identifiants corrects s’ils existent.
  • Si aucun mot de passe n’est correct, vous saurez que le site résiste au test.
  • Vous pouvez analyser la vitesse et le nombre de tentatives pour améliorer la sécurité du site (ex. limitation par IP, CAPTCHA, verrouillage de compte après plusieurs échecs).

Conseils de sécurité

  • Ne testez jamais un site sans autorisation.
  • Préférez un site de test local ou un serveur de staging pour vos essais.
  • Ne laissez pas vos fichiers de mots de passe en clair sur un ordinateur partagé.
  • Documentez toujours vos tests pour pouvoir expliquer ce que vous avez fait.

Cas 2 : Évaluation d’une application web

Une application web récemment développée nécessite une évaluation de sa sécurité. BruteForce AI permet de simuler des attaques pour identifier les vulnérabilités potentielles.

BruteForce AI représente une avancée significative dans le domaine des tests d’intrusion, offrant une approche automatisée et intelligente pour évaluer la sécurité des systèmes. En comprenant son fonctionnement, ses avantages, et en l’utilisant correctement, vous pouvez renforcer la sécurité de vos applications et infrastructures.

Pour approfondir vos connaissances en cybersécurité, explorez des ressources supplémentaires et continuez à vous former aux meilleures pratiques de sécurité.

Live on Twitch

    Articles relatifs

    1. Le Sniffing : comprendre, détecter et se protéger
      Lorsque nous naviguons sur Internet, nous avons souvent l’impression que nos échanges sont privés. Pourtant, dans certaines conditions, nos données peuvent être interceptées sans que nous le sachions. Ce procédé…
    2. Tutoriel nmap : Scan des ports, audit, test et intrusion
      Ce guide synthétise, étape par étape, une initiation à l’utilisation de nmap. Vous y apprendrez à utiliser ces différentes commandes, comprendre à quoi sert le scan de ports, tester les…
    3. Comprendre SSH en 30 min : Tutoriel complet et sécurisation
      Vous souhaitez comprendre ce qu’est SSH et pourquoi il est devenu incontournable pour administrer un serveur, un ordinateur à distance et comment les hackers interagissent avec ? Le protocole SSH (Secure Shell)…
    4. Tutoriel pour le Terminal : PATH, ENV, Shell et Alias
      Lorsque vous utilisez un ordinateur, vous avez certainement entendu parler du terminal, de la console ou de l’invite de commande. Ces termes désignent un outil qui permet d’interagir directement avec…