La MFA est assiégée: techniques des contournemenent courantes

Les mots de passe ne suffisent plus — et désormais, même l’authentification multifacteur (MFA) est contournée. Les attaquants peuvent intercepter les codes envoyés par SMS, dérober les jetons générés par les applications d’authentification, et capturer les cookies de session pour passer outre les protections MFA en toute discrétion. Ce qui était autrefois considéré comme une barrière solide est désormais devenu une cible privilégiée des campagnes de hameçonnage les plus sophistiquées.

Une nouvelle génération de kits de phishing exploite des techniques dites « homme-au-milieu » (Adversary-in-the-Middle, AiTM), qui placent un relais invisible entre la victime et le service légitime. Les victimes croient se connecter en toute sécurité, mais l’attaquant transmet en temps réel leurs identifiants et codes MFA au véritable service, prenant ainsi le contrôle de la session authentifiée.

Comme le souligne Rafik Kattoum, Responsable Infrastructure chez Penta : « Le secteur ne peut plus se permettre de considérer la MFA comme une couche de protection ultime. Il est vital de prévoir ce qui se passe lorsque cette barrière est franchie. »

Que faire ensuite : renforcer la MFA à l’ère du phishing

Même si les attaquants trouvent de nouveaux moyens de contourner la MFA, il existe des mesures concrètes que les organisations peuvent adopter pour rester résilientes :

• Adopter une MFA résistante au phishing. Utilisez des clés de sécurité matérielles (FIDO2, WebAuthn ou cartes à puce) ou des mécanismes d’authentification intégrés aux appareils plutôt que des SMS.
• Limiter la durée de validité des sessions. Réduisez la durée de vie des jetons et imposez une nouvelle authentification pour les actions à haut risque.
• Surveiller le détournement de sessions. Mettez en place des outils d’analytique comportementale et de détection d’anomalies pour identifier des connexions impossibles ou une réutilisation suspecte des sessions.
• Renforcer la sécurité des terminaux mobiles. Sensibilisez les utilisateurs aux risques de “SIM-swapping”, imposez des mises à jour régulières des systèmes et privilégiez les applications d’authentification aux SMS lorsque les clés physiques ne sont pas disponibles.
• Former et tester régulièrement. Organisez des simulations de phishing et des programmes de sensibilisation pour maintenir la vigilance des collaborateurs.
• Adopter les principes du “zéro confiance”. Considérez que la compromission est toujours possible et appliquez une vérification continue, le principe du moindre privilège et une segmentation stricte du réseau.

En reconnaissant que les mots de passe et la simple MFA ne suffisent plus, les organisations peuvent construire des défenses multicouches capables d’anticiper l’innovation des attaquants — et de conserver une longueur d’avance.