MFA-Bypass 2026 : Pourquoi votre deuxième facteur ne vous protège plus

7 min de lecture

59 % des comptes d’entreprise compromis avaient l’authentification à deux facteurs activée. La raison : les attaques Adversary-in-the-Middle (AiTM) et le vol de jetons de session rendent le deuxième facteur inefficace. Microsoft signale quotidiennement 40 000 incidents AiTM détectés. L’authentification à deux facteurs basée sur SMS est désormais considérée comme non sécurisée par le BSI (Office fédéral de la sécurité informatique) et la CISA. La solution réside dans l’authentification résistante au phishing avec FIDO2, les clés de sécurité matérielle et les Passkeys.

L’essentiel

🔒 59 % des comptes compromis avaient l’authentification à deux facteurs activée (Proofpoint 2026).
⚠️ Les attaques AiTM ont augmenté de 146 % en 2025. Microsoft détecte quotidiennement 40 000 incidents.
🛡️ L’authentification à deux facteurs basée sur SMS est considérée comme non sécurisée par le BSI et la CISA. Le swap de SIM et les exploits SS7 permettent l’interception des codes.
📊 Le vol de jetons est devenu en 2025 la méthode d’attaque principale contre Microsoft 365 (31 % de toutes les violations, Microsoft).
🔧 Les clés de sécurité FIDO2 et les Passkeys sont cryptographiquement liés au domaine et immunisés contre le phishing et le vol de jetons.

146 %

Augmentation des attaques Adversary-in-the-Middle sur les comptes d’entreprise en 2025

Source : Microsoft Entra ID Security Report, 2025

Comment les attaques AiTM contournent l’authentification à deux facteurs

Les attaques Adversary-in-the-Middle fonctionnent comme un proxy invisible entre l’utilisateur et le serveur d’authentification. L’attaquant redirige la page de connexion en temps réel via son serveur. L’utilisateur entre ses identifiants et le code d’authentification à deux facteurs, l’attaquant intercepte les deux et obtient le jeton de session. Du point de vue du serveur, la connexion était légitime.

Des frameworks comme EvilGinx2 et Modlishka ont automatisé ces attaques. Un attaquant n’a plus besoin d’une expertise technique approfondie. Il achète un kit de phishing pour quelques centaines d’euros, enregistre un domaine trompeusement similaire et attend les victimes. Les jetons de session volés sont immédiatement utilisables, souvent valides pendant des heures ou des jours.

Les attaques basées sur l’identité utilisent précisément ce vecteur. Selon Microsoft, les attaques par vol de jetons étaient responsables de 31 % de toutes les violations dans les environnements Microsoft 365 en 2025. La tendance est à la hausse, car de plus en plus d’entreprises activent l’authentification à deux facteurs et les attaquants s’adaptent.

« Les attaques basées sur les jetons contournent complètement l’authentification à deux facteurs, car elles n’attaquent pas l’authentification mais la session qui suit. L’attaquant prend le contrôle d’une session déjà authentifiée. »
Obsidian Security, Recherche sur les attaques basées sur les jetons 2025

Pourquoi l’authentification à deux facteurs basée sur SMS ne suffit plus

L’utilisation de SMS comme deuxième facteur présente trois faiblesses fondamentales. Premièrement : le swap de SIM. Un attaquant convainc le fournisseur de services mobiles de transférer le numéro de téléphone sur une nouvelle carte SIM. Deuxièmement : les failles SS7. Le protocole de signalisation des réseaux mobiles permet l’interception des SMS dans certaines conditions. Troisièmement : les proxys AiTM interceptent le code SMS en temps réel avant que l’utilisateur ne puisse le saisir.

Le BSI recommande depuis 2024 explicitement de passer à des procédés d’authentification résistants au phishing. La CISA (l’équivalent américain du BSI) classe également l’authentification à deux facteurs basée sur SMS comme « non résistante au phishing » et recommande les solutions basées sur FIDO2.

Alternatives résistantes au phishing en comparaison

Clés de sécurité FIDO2/WebAuthn (par exemple, YubiKey, Google Titan) : L’option la plus sûre. La clé est cryptographiquement liée au domaine. Même si un utilisateur tombe dans un piège de phishing, la clé ne peut pas authentifier pour le mauvais domaine. Inconvénient : coût (à partir de 25 euros par clé) et logistique pour les grandes équipes.

Passkeys (FIDO2 sur l’appareil) : Le smartphone ou l’ordinateur portable remplace la clé matérielle. L’authentification biométrique (empreinte digitale, Face ID) remplace le PIN. Liaison au domaine comme pour les clés matérielles. Avantage : pas de matériel supplémentaire. Inconvénient : dépendance du fabricant de l’appareil (Apple, Google, Microsoft).

Applications d’authentification avec correspondance de numéro (par exemple, Microsoft Authenticator) : Pas de protection complète contre le phishing, mais nettement meilleure que les SMS. La correspondance de numéro oblige l’utilisateur à entrer un numéro de l’écran dans l’application. Les attaques AiTM sont ainsi rendues plus difficiles, mais pas impossibles.

Authentification basée sur les certificats : Certificats clients sur des appareils gérés. Très sécurisé, mais complexe à gérer. Sensé pour des environnements hautement sensibles comme les opérateurs KRITIS et les autorités.

Pratique-Checkliste : Mettre en place une authentification à deux facteurs résistante au phishing

1. Inventaire : Quelles méthodes d’authentification à deux facteurs sont actuellement utilisées ? Combien d’utilisateurs utilisent encore les SMS ou l’authentification vocale ? Microsoft Entra ID et Google Workspace offrent des rapports à ce sujet.

2. Définir un groupe pilote : Les administrateurs IT et les dirigeants en premier. Ces comptes sont les cibles les plus précieuses et doivent être les premiers à passer à FIDO2 ou aux Passkeys.

3. Configurer l’accès conditionnel : Dans Microsoft Entra ID, les politiques d’accès conditionnel peuvent forcer l’authentification à deux facteurs résistante au phishing pour certaines ressources (Authentication Strength : Phishing-resistant MFA).

4. Planifier les options de secours : Que se passe-t-il si une clé est perdue ? Enregistrer au moins deux clés de sécurité par utilisateur. Configurer des passes d’accès temporaires (TAP) comme option de secours.

5. Désactiver progressivement l’authentification à deux facteurs basée sur SMS : Ne pas désactiver immédiatement, mais bloquer par politique les nouvelles inscriptions et migrer les utilisateurs existants avant une date limite. Microsoft propose des rapports « Authentication Methods Migration » à cet effet.

31 %

des violations dans les environnements M365 sont dues au vol de jetons

Source : Microsoft, 2025

Questions fréquentes

L’application d’authentification suffit-elle comme authentification à deux facteurs ?

L’application d’authentification avec correspondance de numéro est nettement plus sûre que les SMS, mais pas entièrement résistante au phishing. Les attaques AiTM peuvent intercepter la saisie en temps réel. Pour les comptes à haut risque (administrateurs, dirigeants, accès aux données sensibles), le BSI et la CISA recommandent des solutions basées sur FIDO2.

Quel est le coût de la migration vers les clés de sécurité FIDO2 ?

Les clés matérielles comme YubiKey coûtent à partir de 25 euros pièce. Avec deux clés par utilisateur (principale et de secours), le coût pour une entreprise de 100 personnes s’élève à environ 5 000 euros. Le déploiement est nativement pris en charge dans Microsoft Entra ID et Google Workspace, sans infrastructure supplémentaire nécessaire.

Les Passkeys peuvent-elles remplacer les clés matérielles ?

Pour la plupart des entreprises, oui. Les Passkeys offrent la même sécurité cryptographique que les clés FIDO2, mais exploitent l’appareil existant (smartphone, ordinateur portable) au lieu d’un matériel séparé. Le compromis : ils sont liés à l’appareil et à son écosystème (Apple, Google, Microsoft). En cas de perte de l’appareil, un processus de récupération doit être mis en place.

Qu’est-ce que l’accès conditionnel et pourquoi est-il crucial pour la sécurité de l’authentification à deux facteurs ?

L’accès conditionnel est un cadre de stratégie dans Microsoft Entra ID (et des systèmes similaires) qui applique des règles d’accès selon le contexte. Une entreprise peut ainsi exiger que les administrateurs utilisent FIDO2, que les accès externes soient limités aux appareils gérés, ou que les sessions de jetons expirent après quatre heures. Sans accès conditionnel, l’authentification à deux facteurs reste une simple case à cocher, non une stratégie cohérente.

Comment détecter les attaques AiTM sur mon entreprise ?

Microsoft Entra ID signale les connexions suspectes AiTM sous « Connexions à risque », avec le type de détail de risque « Jetons anormaux ». Des alertes de « voyage impossible » (connexion depuis deux pays en un laps de temps irréaliste) et l’utilisation de jetons de session depuis des adresses IP inconnues constituent également des indicateurs pertinents.

Conseils de lecture de la rédaction

Plus du réseau MBF Media

→ Boom de la cybersécurité : Pourquoi NIS2 fait de la sécurité allemande un moteur de croissance (MyBusinessFuture)
→ DevSecOps : La sécurité comme composante intégrale du développement cloud (cloudmagazin)

Source de l’image : Pexels / Sora Shimazaki

Imprimer l'article

À propos de l'auteur: Tobias Massow

Plus d'articles de Tobias Massow

Aussi disponible en

Español English Deutsch