La MFA est assiégée: techniques des contournemenent courantes

Johan Blaix
8 sept. 2025
Cybersécurité Sécurité des données

Les mots de passe ne suffisent plus — et désormais, même l’authentification multifacteur (MFA) est contournée. Les attaquants peuvent intercepter les codes envoyés par SMS, dérober les jetons générés par les applications d’authentification, et capturer les cookies de session pour passer outre les protections MFA en toute discrétion. Ce qui était autrefois considéré comme une barrière solide est désormais devenu une cible privilégiée des campagnes de hameçonnage les plus sophistiquées.

Une nouvelle génération de kits de phishing exploite des techniques dites « homme-au-milieu » (Adversary-in-the-Middle, AiTM), qui placent un relais invisible entre la victime et le service légitime. Les victimes croient se connecter en toute sécurité, mais l’attaquant transmet en temps réel leurs identifiants et codes MFA au véritable service, prenant ainsi le contrôle de la session authentifiée.

Comme le souligne Rafik Kattoum, Responsable Infrastructure chez Penta : « Le secteur ne peut plus se permettre de considérer la MFA comme une couche de protection ultime. Il est vital de prévoir ce qui se passe lorsque cette barrière est franchie. »

La MFA sous attaque : techniques de contournement courantes

  • Interception de SMS — Les attaquants détournent les codes à usage unique envoyés par SMS, souvent grâce au “SIM-swapping” ou à des malwares.
  • Vol de jetons d’application d’authentification — Des applications malveillantes ou des sites de phishing amènent les utilisateurs à révéler leurs mots de passe à usage unique temporaires (TOTP).
  • Détournement de cookies de session — Les kits AiTM capturent les jetons de session après une connexion réussie, permettant aux attaquants d’usurper l’identité des utilisateurs sans leurs identifiants.

Que faire ensuite : renforcer la MFA à l’ère du phishing

Même si les attaquants trouvent de nouveaux moyens de contourner la MFA, il existe des mesures concrètes que les organisations peuvent adopter pour rester résilientes :

  • Adopter une MFA résistante au phishing. Utilisez des clés de sécurité matérielles (FIDO2, WebAuthn ou cartes à puce) ou des mécanismes d’authentification intégrés aux appareils plutôt que des SMS.
  • Limiter la durée de validité des sessions. Réduisez la durée de vie des jetons et imposez une nouvelle authentification pour les actions à haut risque.
  • Surveiller le détournement de sessions. Mettez en place des outils d’analytique comportementale et de détection d’anomalies pour identifier des connexions impossibles ou une réutilisation suspecte des sessions.
  • Renforcer la sécurité des terminaux mobiles. Sensibilisez les utilisateurs aux risques de “SIM-swapping”, imposez des mises à jour régulières des systèmes et privilégiez les applications d’authentification aux SMS lorsque les clés physiques ne sont pas disponibles.
  • Former et tester régulièrement. Organisez des simulations de phishing et des programmes de sensibilisation pour maintenir la vigilance des collaborateurs.
  • Adopter les principes du “zéro confiance”. Considérez que la compromission est toujours possible et appliquez une vérification continue, le principe du moindre privilège et une segmentation stricte du réseau.

En reconnaissant que les mots de passe et la simple MFA ne suffisent plus, les organisations peuvent construire des défenses multicouches capables d’anticiper l’innovation des attaquants — et de conserver une longueur d’avance.
Johan

Johan Blaix

Manager - Service & Client Relationship

Johan Blaix est un stratège en cybersécurité spécialisé dans les menaces émergentes, le risque numérique et l’avenir des infrastructures sécurisées. Fort d’une expérience en opérations de sécurité et de plusieurs années de conseil auprès d’organisations financières, Johan contribue à combler le fossé entre la recherche technique complexe et la réalité stratégique des entreprises. Ses travaux explorent la manière dont les attaquants s’adaptent, comment les défenseurs peuvent garder une longueur d’avance, et pourquoi la résilience compte autant que la prévention.

Connect with Johan

Thèmes

Découvrez d’autres articles