Nouvelle effrayante : les pirates ne « cassent » plus votre MFA : ils se contentent de se servir d’un fusil de chasse lors de votre connexion pour voler le jeton de session sous vos pieds.
L’authentification multifacteur était censée être la solution. Pendant des années, les équipes de sécurité ont dit aux employés que MFA assurerait leur sécurité. Mot de passe volé ? Pas de problème : les attaquants ont toujours besoin de ce deuxième facteur.
Mais le phishing par adversaire au milieu (AiTM) a tout changé. Ces attaques ne tentent pas de voler séparément les mots de passe et les codes MFA. Ils capturent l’intégralité du flux d’authentification en temps réel, y compris le jeton de session qui prouve qu’un utilisateur est connecté. L’employé fait tout correctement : vérifie HTTPS, vérifie l’invite MFA, évite les pièces jointes suspectes – et est toujours compromis.
Cela devrait concerner tous les responsables de la sécurité. Si notre formation, notre MFA et nos programmes de sensibilisation à la sécurité ne peuvent pas protéger quelqu’un qui essaie véritablement d’être prudent, alors que promettons-nous exactement lorsque nous disons aux utilisateurs que la MFA assurera leur sécurité ?
Pourquoi ce n’est pas le phishing pour lequel vous avez été formé
Le phishing traditionnel signifiait de fausses pages de connexion bâclées avec des fautes de frappe et des URL douteuses. Ces pages ne pouvaient pas gérer MFA car elles n’avaient aucune connexion avec le véritable service d’authentification.
Voici ce qui a changé, et j’aimerais que davantage de responsables de la sécurité le comprennent : les pages de phishing modernes ne sont pas fausses. Ce sont des mandataires.
Des outils comme Evilginx se situent entre l’utilisateur et le service légitime – Microsoft, Google, Okta, peu importe – et relaient tout en temps réel. L’employé saisit son mot de passe. Cela va à Microsoft. Microsoft envoie le défi MFA. Il revient via le proxy vers le téléphone de l’employé. L’employé l’approuve. Le cookie de session – ce jeton doré prouvant l’authentification – passe directement par le proxy entre les mains de l’attaquant.
L’employé constate une connexion réussie et continue sa journée. L’attaquant prend ce même cookie de session, ouvre un navigateur sur une machine complètement différente et il y est. Aucun mot de passe n’est requis. Aucune invite MFA. Juste une session propre et authentifiée qui appartient à quelqu’un d’autre.
Ce qui me dérange le plus, c’est le silence. Il n’y a aucune tentative de connexion infructueuse. Pas de bombardement de fatigue MFA. Aucune alerte de force brute. Tout semble normal car, techniquement, tout était normal. L’authentification était réelle. L’agresseur a juste assisté à ce qui se passait.
Et ce n’est plus une technique d’État-nation. Les plateformes de phishing en tant que service – Tycoon 2FA, Sneaky2FA, FlowerStorm – en ont fait une marchandise. Selon les prévisions de Barracuda en matière de sécurité de première ligne, plus de 90 % des attaques de compromission d’identifiants devraient impliquer des kits de phishing sophistiqués d’ici fin 2026. Un rapport distinct sur les menaces de Barracuda a révélé que 90 % des campagnes de phishing à grand volume en 2025 reposaient sur des kits PhaaS, le nombre de kits connus ayant doublé au cours de l’année. Vous n’avez pas besoin de comprendre les proxys inverses pour lancer cette attaque. Vous avez besoin d’une carte de crédit et d’un abonnement.
Trois échecs qui ne cessent de se manifester
Grâce à mes recherches sur les attaques par adversaire du milieu et à l’examen des rapports d’incidents du secteur, j’ai identifié trois échecs constants qui contribuent au succès de ces attaques.
1. Nous avons formé nos collaborateurs à la mauvaise menace
La plupart des programmes de sensibilisation à la sécurité enseignent toujours les mêmes choses : recherchez les fautes d’orthographe, vérifiez l’adresse de l’expéditeur, survolez les liens. Ces conseils ont été élaborés pour le phishing de 2015. Dans une attaque d’adversaire du milieu, il n’y a pas de fautes d’orthographe car la page est réelle : elle est mandatée par le service réel. Le certificat SSL est valide car le proxy obtient son propre certificat légitime. Le flux de connexion se comporte exactement comme prévu car il s’agit du véritable flux de connexion, simplement observé par quelqu’un au milieu.
Les chercheurs en sécurité l’ont testé de manière approfondie. La configuration d’un proxy Evilginx contre un locataire test et l’envoi de liens de phishing aux professionnels de la sécurité (des personnes qui savent à quoi ressemble le phishing) en détectent systématiquement un nombre important. Si les personnes dont le travail consiste à détecter ces attaques ne peuvent pas faire la différence, il est irréaliste d’attendre que le personnel financier ou RH le fasse. Les recherches de Push Security confirment que le phishing est devenu omnicanal, avec environ une attaque de phishing sur trois désormais entièrement lancée en dehors du courrier électronique, via des canaux tels que les DM LinkedIn et la recherche Google.
2. Nous faisons trop confiance aux cookies de session
Une fois la MFA terminée, la plupart des organisations considèrent la session qui en résulte comme sacrée. L’utilisateur a prouvé qui il était, alors nous le laissons travailler. Mais les cookies de session sont des jetons au porteur : celui qui les détient est l’utilisateur authentifié. Il n’y a aucune liaison entre le cookie et l’appareil qui l’a généré. Il n’y a pas d’empreinte digitale. Il n’y a pas d’ancre. Un attaquant qui vole un cookie de session à Londres peut le rejouer depuis un emplacement totalement différent, et le fournisseur d’identité l’acceptera comme utilisateur légitime. Les recherches de Silverfort ont démontré que même après une authentification FIDO2 réussie, de nombreux fournisseurs d’identité restent vulnérables au détournement de session car les jetons de session créés après l’authentification ne sont pas suffisamment protégés.
3. Nous réagissons au vol d’identifiants, pas au vol de session
Les playbooks de réponse aux incidents sont construits autour de mots de passe compromis : forcez une réinitialisation, révoquez les jetons, réinscrivez MFA. Mais dans une attaque d’adversaire du milieu, le mot de passe n’est pas la principale préoccupation : la session l’est. Les rapports du secteur montrent systématiquement que les équipes d’intervention réinitialisent les mots de passe et considèrent l’affaire close, tandis que les attaquants continuent d’opérer sur des sessions volées pendant des jours. Si vous ne révoquez pas toutes les sessions actives et ne surveillez pas la relecture des sessions, vous ne corrigez pas réellement le compromis.
Ce qui fonctionne réellement
La vérité inconfortable est que l’authentification multifacteur traditionnelle (notifications push, codes SMS, applications d’authentification) ne peut pas se défendre contre le phishing par un adversaire du milieu. L’authentification réussit car il s’agit d’une véritable authentification. L’attaquant observe et copie simplement le résultat. Voici ce qui fait réellement la différence.
Déployer une authentification résistante au phishing
Les clés de sécurité et les mots de passe FIDO2 lient l’authentification de manière cryptographique au domaine spécifique. Si la demande de connexion provient d’un domaine proxy au lieu du service réel, la clé refuse de signer le défi. Selon la documentation de Microsoft sur les clés d’accès, les clés d’accès utilisent une cryptographie à clé publique liée à l’origine, garantissant que les informations d’identification ne peuvent pas être rejouées ou partagées avec des acteurs malveillants. Le déploiement de clés matérielles peut s’avérer difficile : l’approbation du budget prend du temps et les utilisateurs ont besoin d’une formation. Mais commencez quelque part. Les équipes financières, les administrateurs informatiques et les dirigeants doivent être les premiers. Les personnes disposant de l’accès le plus précieux ont besoin de l’authentification la plus forte. Il convient de noter que les chercheurs de Proofpoint ont démontré une attaque de rétrogradation contre FIDO dans Microsoft Entra ID en usurpant un navigateur non pris en charge. Les organisations doivent donc également désactiver les méthodes d’authentification de secours lorsque cela est possible.
Lier des sessions aux appareils
Les politiques d’accès conditionnel qui nécessitent des appareils gérés et conformes créent un point d’ancrage matériel que la relecture des cookies ne peut pas contourner. Si quelqu’un vole un cookie de session et tente de le rejouer à partir d’une machine non gérée, la session est interrompue. Il s’agit de l’un des changements les plus percutants que les organisations puissent mettre en œuvre. Ce n’est pas infaillible, mais cela élimine du jour au lendemain le vecteur de relecture le plus simple.
Surveillez les anomalies de session, pas seulement les échecs de connexion
L’attaque de l’adversaire du milieu ne génère pas d’échecs de connexion. Il en génère des réussis d’apparence parfaite. Les signaux résident dans ce qui se passe après l’authentification. Surveillez les déplacements impossibles entre l’adresse IP d’authentification et l’activité de session ultérieure. Surveillez l’enregistrement d’un nouvel appareil MFA quelques minutes après la connexion. Surveillez la création de règles de boîte de réception. L’analyse des menaces de Barracuda souligne que les attaquants ont de plus en plus recours au vol de code MFA via des attaques par relais et en ciblant les flux de récupération MFA, ce qui rend la surveillance post-authentification plus critique que jamais. Il s’agit des actions post-compromission que les attaquants effectuent systématiquement, et l’élaboration de règles de détection autour de ces modèles permet d’attraper les tentatives que la surveillance traditionnelle rate complètement.
Reconstruisez votre formation de sensibilisation à la sécurité
Arrêtez d’apprendre aux gens à repérer les pages de phishing – ils ne le peuvent pas, pas contre les attaques modernes. L’analyse de Push Security note que la grande majorité des attaques de phishing utilisent aujourd’hui des proxys inverses capables de contourner la plupart des formes d’authentification multifacteur en temps réel, et que les approches traditionnelles du blocage d’URL laissent les défenseurs deux longueurs de retard sur les attaquants. Au lieu de cela, enseignez aux employés une règle simple : si vous n’avez pas initié la connexion vous-même en tapant directement l’URL, ne lui faites pas confiance. Ne cliquez pas sur les liens de connexion dans les e-mails, même s’ils semblent légitimes. Accédez directement au service. Ajoutez vos pages de connexion à vos favoris. Et donnez aux gens un moyen simple et fluide de signaler tout ce qui ne va pas, même s’ils ne peuvent pas expliquer pourquoi.
La conclusion inconfortable
Le secteur de la sécurité a passé des années à dire aux organisations que la MFA était la solution. C’était le cas – à cause des menaces que nous avions alors. Mais la menace a évolué et nos défenses n’ont pas suivi le rythme.
Le phishing par adversaire du milieu n’interrompt pas la MFA. Ce n’est pas nécessaire. Il reste patiemment au milieu, regarde l’authentification se dérouler exactement comme prévu et copie le résultat. Notre défense la plus solide n’échoue pas : elle réussit, et l’attaquant en profite quand même.
Les organisations qui reconnaissent ce changement et adoptent une authentification résistante au phishing seront protégées. Les autres attendent une faille qui ressemblera exactement à une connexion normale du lundi matin – jusqu’à ce qu’il soit trop tard.
Nous avons dit à nos employés que MFA assurerait leur sécurité. Nous leur devons une défense qui le fait réellement.
Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?
