L’IA menace l’authentification à deux facteurs en quelques minutes, selon Journal du Geek

Une nouvelle génération d’outils exploitant l’intelligence artificielle est désormais capable de contourner l’authentification à deux facteurs (2FA), l’un des mécanismes de sécurité les plus robustes du web. Cette faille, révélée par Journal du Geek, met en lumière la rapidité avec laquelle les technologies émergentes peuvent rendre obsolètes les protections traditionnelles.

Une protection jusqu’ici quasi infaillible menacée par l’IA

Longtemps considérée comme un rempart efficace contre les intrusions, l’authentification à deux facteurs repose sur une double vérification : un mot de passe suivi d’un code envoyé par SMS, d’un appel vocal ou d’une notification mobile. Selon Journal du Geek, cette méthode bloque encore la quasi-totalité des attaques automatisées grâce à la présence d’un facteur humain ou matériel supplémentaire. Pourtant, une étude récente montre que des outils exploitant l’intelligence artificielle pourraient bientôt rendre ce dispositif vulnérable.

Les chercheurs en cybersécurité ont mis en évidence que des algorithmes d’IA générative, capables de reproduire des voix ou des messages de manière quasi indétectable, sont désormais utilisés pour tromper les systèmes de vérification. « En combinant la synthèse vocale et l’analyse comportementale, il est possible de contourner le 2FA en moins de cinq minutes dans certains cas », a précisé un expert interrogé par Journal du Geek, sans révéler son identité pour des raisons de sécurité.

Des méthodes de contournement de plus en plus sophistiquées

Parmi les techniques les plus redoutables figurent l’usurpation d’identité vocale et la simulation de comportements utilisateurs. Un attaquant peut, par exemple, enregistrer la voix d’une victime via des extraits disponibles en ligne (réseaux sociaux, podcasts) et l’utiliser pour répondre aux appels téléphoniques de vérification. « Les systèmes de reconnaissance vocale actuels peinent à distinguer une voix synthétique d’une voix réelle », a expliqué un responsable de la société de cybersécurité Kaspersky, cité par Journal du Geek.

Autre méthode : l’exploitation des failles logicielles des applications de 2FA. Certaines applications mobiles, comme Google Authenticator ou Authy, stockent des données sensibles en local. Une attaque ciblant ces faiblesses pourrait permettre à un pirate d’accéder aux codes de vérification avant même qu’ils ne soient utilisés.

Les secteurs les plus exposés à ces nouvelles menaces

Les domaines où la sécurité des données est critique sont les premiers concernés. Le secteur financier, qui utilise massivement le 2FA pour sécuriser les transactions en ligne, se retrouve en première ligne. Les banques en ligne et les plateformes de paiement, comme PayPal ou Stripe, pourraient devenir des cibles privilégiées. « Un contournement réussi du 2FA dans le secteur bancaire pourrait entraîner des pertes financières colossales », a averti un analyste de la société Gartner.

La santé et les services gouvernementaux ne sont pas épargnés. Les dossiers médicaux électroniques, protégés par des protocoles stricts, ou les systèmes d’accès aux données sensibles des États pourraient être compromis. Selon un rapport de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), 40 % des attaques ciblant les infrastructures critiques en 2025 ont exploité des failles liées à l’authentification. Journal du Geek souligne que ces chiffres pourraient exploser d’ici la fin de l’année.

Pour les utilisateurs, la prudence reste de mise. Les experts recommandent de privilégier les applications de 2FA open source, de mettre à jour régulièrement ses appareils et d’éviter les solutions basées uniquement sur les SMS, jugées moins sécurisées. Autant dire que l’ère de la 2FA « inviolable » pourrait toucher à sa fin, poussant l’industrie à repenser en profondeur ses standards de sécurité.