Better Auth : Contournement de l’authentification à deux facteurs via la mise en cache prématurée de session (session.cookieCache)

### Résumé Dans certaines configurations, les sessions peuvent être considérées comme valides avant que l’authentification à deux facteurs (2FA) ne soit entièrement terminée. Cela peut permettre d’accéder aux routes authentifiées sans vérifier le deuxième facteur. --- ### Description Lorsque l’authentification à deux facteurs est activée, le flux d’authentification identifie correctement les utilisateurs qui nécessitent une vérification supplémentaire et diffère l’authentification complète jusqu’à ce que le deuxième facteur soit terminé. Toutefois, lorsque `session.cookieCache` est activé, la session générée lors de l’étape de connexion initiale peut être mise en cache comme valide **avant la vérification 2FA**. Les recherches de session suivantes peuvent alors renvoyer cette session mise en cache sans réévaluer l’exigence 2FA. Cela se traduit par une situation où la validité de la session peut être établie avant que toutes les contraintes d’authentification ne soient satisfaites. --- ### Impact Un attaquant (ou un utilisateur) avec des informations d’identification principales valides peut accéder aux routes d’application protégées sans effectuer le deuxième facteur d’authentification requis. Toute application utilisant `better-auth` avec à la fois l’authentification à deux facteurs et la mise en cache des cookies de session activées peut être affectée. --- ### Atténuation * Mettre à niveau vers une version de `better-auth` qui