Comment les attaquants contournent l’authentification multifactorielle : Adversary-in-the-Middle, fatigue de l’authentification multifactorielle et vol de jetons
L’authentification multifactorielle (MFA) a longtemps été considérée comme la solution miracle contre la compromission des comptes. Cependant, les attaquants ont progressé : les proxys Adversary-in-the-Middle capturent les jetons MFA en temps réel, les attaques de fatigue de l’authentification multifactorielle harcèlent les utilisateurs jusqu’à ce qu’ils abandonnent, et le vol de jetons de session rend le deuxième facteur obsolète. L’authentification multifactorielle reste importante – mais ne suffit plus à elle seule.
L’essentiel
- Les proxys AiTM (Evilginx, Modlishka) capturent les jetons MFA en temps réel
- Fatigue de l’authentification multifactorielle : le piratage d’Uber en 2022 réussi grâce au push bombing
- Le vol de jetons de session via des infostealers contourne complètement l’authentification multifactorielle
- FIDO2/Passkeys est le seul standard résistant au phishing
Adversary-in-the-Middle : le proxy invisible
Les attaques AiTM utilisent un proxy inverse entre l’utilisateur et la page de connexion légitime. L’utilisateur voit une copie parfaite, entre ses identifiants et le code MFA – le proxy transmet tout et capture le jeton de session résultant. L’attaquant dispose alors d’une session authentifiée, sans jamais avoir possédé le deuxième facteur.
Des outils comme Evilginx2 rendent ces attaques effroyablement simples. Un domaine de phishing convaincant, un proxy configuré, et l’authentification multifactorielle est contournée. Microsoft a signalé en 2023 plus de 10 000 organisations touchées par des campagnes AiTM.
Fatigue de l’authentification multifactorielle : l’humain comme maillon faible
Lors du piratage d’Uber en 2022, l’attaquant a bombardé un employé de notifications push MFA – des centaines en peu de temps. À un moment donné, la victime a appuyé sur « Approuver » pour arrêter le flux. Une seule fois a suffi.
La fatigue de l’authentification multifactorielle fonctionne parce que l’authentification multifactorielle basée sur les notifications push demande seulement à l’utilisateur « Était-ce vous ? » – sans contexte. Contre-mesures : correspondance des numéros (l’utilisateur doit entrer un numéro de la page de connexion dans l’application), limitation des taux et alertes basées sur les anomalies en cas d’activité MFA inhabituelle.
Vol de jetons de session : contourner l’authentification multifactorielle sans attaquer l’authentification multifactorielle
Les logiciels malveillants infostealers (Raccoon, Redline, Vidar) volent les cookies du navigateur et les jetons de session directement depuis l’appareil de l’utilisateur. Avec un jeton de session valide, l’attaquant peut prendre le contrôle de la session – l’authentification multifactorielle a déjà été effectuée lors de la connexion et n’est plus pertinente.
Le résultat : des sessions authentifiées sont échangées sur les marchés du darknet. Un jeton de session valide pour un compte M365 d’entreprise coûte moins de 10 dollars. La solution : liaison des jetons, accès conditionnel avec conformité des appareils et invalidation régulière des sessions.
La réponse : FIDO2 et authentification multifactorielle résistante au phishing
L’authentification basée sur FIDO2 (clés matérielles, passkeys) est par principe immunisée contre les attaques AiTM : la clé privée est liée au domaine. Un proxy sur un autre domaine n’obtient pas de signature valide. Le push bombing est également exclu – l’utilisateur doit physiquement toucher une clé ou confirmer biométriquement.
Google rapporte : depuis l’obligation de FIDO2 pour tous les employés (2017), il n’y a eu aucun phishing réussi sur les comptes des employés. La technologie fonctionne – le défi est son adoption dans le contexte de l’entreprise.
Key Facts
Campagnes AiTM : plus de 10 000 organisations touchées en 2023 (Microsoft)
Prix des jetons de session : moins de 10 USD sur les marchés du darknet
FIDO2 chez Google : 0 phishing réussi depuis l’introduction en 2017
Questions fréquentes
Dois-je désactiver l’authentification multifactorielle si elle peut être contournée ?
Absolument pas. L’authentification multifactorielle bloque toujours plus de 99 % des attaques automatisées de credentials. Les techniques de contournement mentionnées nécessitent un effort ciblé. L’authentification multifactorielle reste obligatoire – mais doit être complétée par des méthodes résistantes au phishing (FIDO2).
Qu’est-ce que la correspondance des numéros en matière d’authentification multifactorielle ?
Au lieu de simplement « Approuver/Refuser », la page de connexion affiche un nombre à deux chiffres. L’utilisateur doit entrer le même nombre dans l’application Authenticator. Cela empêche l’approbation aveugle lors des attaques de fatigue de l’authentification multifactorielle. Microsoft et Duo offrent la correspondance des numéros de manière native.
Un VPN protège-t-il contre les attaques AiTM ?
Non. Les attaques AiTM visent les services cloud (M365, Google Workspace), qui sont utilisés directement via le navigateur – et non via un VPN. La protection réside dans l’authentification résistante au phishing et les politiques d’accès conditionnel qui vérifient la conformité des appareils.
Articles connexes
- Tendances de la cybersécurité 2026 : les 7 évolutions que les décideurs en sécurité doivent connaître
- Reconnaître les e-mails de phishing générés par l’IA : 7 signaux d’alerte pour 2026
- Cybersecurity 2030 : cinq prévisions pour la prochaine décennie de la sécurité informatique
Plus du réseau MBF Media
- Cloud Magazin – Cloud, SaaS & infrastructure IT
- myBusinessFuture – Numérisation, IA & Business
- Digital Chiefs – Leadership de pensée C-Level
Source de l’image : Pexels / I’m Zion
