PhiShark Logo
Retour au blog
Phishing Defense12 juin 20268 min de lecturePhiShark Team

Le MFA N'est Pas un Mur : Comment le Bombardement par Fatigue et l'AiTM Contournent le 2FA en 2026

L'authentification multifactorielle est traitée comme la ligne d'arrivée de la sécurité d'identité. En 2026, le bombardement par fatigue MFA et le vol de cookie de session Adversary-in-the-Middle démontent cette hypothèse. Voici comment fonctionnent les contournements et ce qui les défend.

Contournement MFAAiTMFatigue MFADétournement de SessionDéfense Phishing2026

"Activez le MFA et c'est fini." Cette phrase est la conclusion de la formation de sensibilisation à la sécurité depuis près d'une décennie. En 2026, c'est aussi l'une des choses les plus dangereuses qu'un programme de sécurité puisse croire. L'authentification multifactorielle est un contrôle, pas une conclusion. Deux techniques spécifiques - le bombardement par fatigue MFA et le vol de session Adversary-in-the-Middle (AiTM) - ont mûri au point que le MFA seul n'arrête plus un attaquant déterminé. Ils ne cassent pas le second facteur cryptographique. Ils le contournent.

Les deux contournements que toute équipe devrait comprendre

Ils ne sont pas théoriques. Les deux apparaissent régulièrement dans les interventions de réponse à incident tout au long de 2025 et en 2026, et les deux vainquent des organisations dont le seul contrôle d'identité est le MFA au-dessus d'un mot de passe.

Bombardement par fatigue MFA (push-bombing)

Le MFA moderne est massivement basé sur le push. L'utilisateur s'authentifie avec un mot de passe, le fournisseur d'identité envoie une notification push à un appareil enregistré, et l'utilisateur approuve. Le modèle de sécurité suppose que l'approbation est un acte délibéré et attentif.

Le bombardement par fatigue brise cette hypothèse. L'attaquant a le mot de passe (acheté dans un log de stealer, fuité dans une brèche, ou phishé) et spamme la victime de demandes d'approbation - des dizaines ou centaines d'affilée, souvent à 3 heures du matin. Les utilisateurs, ensommeillés et agacés, tapent "Approuver" pour faire cesser le bourdonnement. L'approbation est réelle. L'authentification réussit. Le second facteur était techniquement présent.

Ce qui rend cela efficace en 2026, c'est la combinaison de l'évasion de correspondance de nombres et de la fatigue des notifications. Les premières défenses ont ajouté des invites de correspondance ("approuver uniquement si vous voyez 4823"), mais les attaquants opérant en temps réel via des proxies de phishing peuvent présenter le nombre correspondant à l'utilisateur dans le cadre de leur flux de connexion cloné, supprimant la protection que l'invite était censée fournir.

Vol de session Adversary-in-the-Middle (AiTM)

L'AiTM est le contournement le plus insidieux parce qu'il vainc même des méthodes MFA censées résister au phishing.

L'attaquant dresse une page de phishing qui ne se contente pas de collecter des identifiants - elle les relaie, en temps réel, vers le fournisseur d'identité légitime. Quand l'utilisateur tape son mot de passe, il est transféré et saisi dans la connexion réelle. Quand le fournisseur émet le défi MFA, l'attaquant le transfère à l'utilisateur. Quand l'utilisateur complète le MFA, l'attaquant le rejoue. Le service légitime est satisfait et, surtout, renvoie un cookie de session. Ce cookie est capturé par le proxy - pas le navigateur de l'utilisateur - et à partir de ce moment l'attaquant a une session authentifiée sans jamais avoir besoin du mot de passe ou du second facteur.

L'identifiant et le second facteur ont tous deux été utilisés. Ils l'ont juste été par l'attaquant, à travers l'utilisateur, contre le vrai service. Le MFA "a fonctionné." Le compte est tout de même compromis.

Pourquoi les défenses traditionnelles manquent ces attaques

La raison pour laquelle ces contournements réussissent à grande échelle est que les protections d'identité les plus courantes n'ont pas été conçues pour eux.

Les filtres email ne voient pas le relais

Les kits AiTM sont souvent distribués comme des liens de phishing qui ressemblent à des URLs Microsoft 365 ou Okta ordinaires. Une passerelle email sécurisée scannant le lien au moment de la livraison voit un domaine fraîchement enregistré et, selon la configuration, le bloque (utile, quand ça arrive) ou le laisse passer parce que la page n'est pas encore classifiée. Beaucoup de kits AiTM font tourner les domaines toutes les heures, donc un contrôle de réputation qui retourne "inconnu" n'équivaut pas à "sûr."

L'approbation MFA elle-même paraît légitime

Pour le bombardement par fatigue, chaque signal qu'un fournisseur d'identité journalise dit que l'authentification a été légitime. Le bon mot de passe. Le bon appareil. Un événement d'approbation. La seule anomalie - une rafale de demandes d'approbation - est rarement remontée par défaut. Les équipes découvrent la compromission des heures ou des jours plus tard, quand l'attaquant commence à créer des règles de transfert ou exfiltrer des données.

L'EDR n'est pas la surface de menace

La détection des points de terminaison se concentre sur l'appareil. AiTM et les attaques par fatigue compromettent une identité, pas un ordinateur. L'attaquant utilise une session valide depuis une IP inconnue, une géographie inconnue, parfois un navigateur inconnu. Les contrôles basés sur l'appareil n'ont rien à saisir.

Ce qui défend réellement contre les contournements MFA

Il n'y a pas de réglage unique qui neutralise les deux attaques. La défense efficace est en couches, et chaque couche traite un mode de défaillance spécifique du mot-de-passe-plus-MFA.

Exigez un MFA résistant au phishing

Tous les seconds facteurs ne se valent pas. Les approbations push, les codes OTP délivrés par SMS, et les codes basés sur le temps affichés à l'écran peuvent tous être relayés ou rejoués. Les méthodes résistantes au phishing - clés de sécurité FIDO2, passkeys soutenus par le matériel, identifiants liés à l'appareil - lient cryptographiquement l'authentification à l'origine légitime. Un proxy AiTM ne peut pas relayer une assertion FIDO2 parce que l'authentificateur refuse de la signer pour un domaine qu'il ne reconnaît pas. C'est le contrôle au plus fort impact, mais l'adoption traîne parce qu'il touche l'expérience utilisateur et l'inventaire des appareils.

Détectez le schéma de fatigue

Pour le MFA push que vous ne pouvez pas encore remplacer, détectez le comportement de rafale : plus de N approbations dans une fenêtre, une approbation provenant d'une séquence rapide de refus, des approbations à des heures inhabituelles, ou des approbations suivant un indicateur de fuite d'identifiants. Ces signaux sont déjà présents dans les journaux d'identité. Alerter dessus transforme une compromission réussie en compromission interceptée.

Bloquez la landing page dans le navigateur

L'AiTM exige que la victime charge le proxy. Si le navigateur refuse de charger la page, le relais ne commence jamais. C'est là que l'analyse de page native du navigateur en temps réel compte : détecter l'usurpation de marque, reconnaître les flux de collecte d'identifiants, et bloquer la destination avant que l'utilisateur tape quoi que ce soit. L'Extension de Navigateur PhiShark fait exactement cela au moment du chargement.

Traitez les cookies de session comme le vrai périmètre

Si l'identifiant et le second facteur peuvent tous deux être relayés, le cookie de session est la vraie frontière. Surveillez les sessions, imposez l'accès conditionnel sur l'origine de la session, et raccourcissez les durées de vie de session dans les contextes à haut risque. Un cookie volé s'invalide de lui-même en quelques minutes si la durée est courte et que la politique d'accès réévalue l'origine.

Corrélez entre signaux avec preuves

Une seule approbation MFA à 3 heures du matin peut être du bruit. La même approbation suivie d'une connexion depuis un nouveau pays une heure plus tard, suivie de la création d'une règle de boîte, est une chaîne d'attaque complète. Une IA agentique qui corrèle les signaux et explique le raisonnement est ce qui transforme la télémétrie brute en décision défendable. C'est précisément le rôle de PhiShark AIPA dans les flux d'incident - remonter non seulement l'alerte mais les preuves derrière.

Ce que cela signifie pour les équipes de sécurité

Si le MFA est la dernière ligne de défense d'identité, le contournement MFA est le dernier mot sur la question de savoir si l'identité est sécurisée. Les équipes qui tiennent la ligne en 2026 sont celles qui ont arrêté de traiter le MFA comme une ligne d'arrivée.

  • Le MFA est un contrôle, pas une conclusion. La question est de savoir si votre second facteur est résistant au phishing.
  • Les approbations push sont la cible molle. Sans détection du schéma de fatigue et intégrité de correspondance de nombres, le push est contournable par seule nuisance.
  • L'AiTM vole la session, pas le mot de passe. Le périmètre d'identité passe des identifiants aux sessions ; protégez et surveillez-les en conséquence.
  • Le navigateur est la porte du relais. Bloquez le proxy avant que l'utilisateur tape, et la chaîne AiTM ne commence jamais.
  • La corrélation fondée sur les preuves bat les alertes isolées. Une approbation à 3 h du matin n'est rien ; une approbation à 3 h plus rejou de cookie plus nouvelle géographie est une attaque.

Le MFA n'a pas échoué. C'est l'hypothèse qu'il suffit qui a échoué.

Le second facteur fait toujours ce pour quoi il a été conçu. Ce qui a changé en 2026, c'est que les attaquants ont arrêté d'essayer de vaincre la cryptographie et ont commencé à vaincre l'humain et le relais autour. La solution n'est pas un meilleur mot de passe. C'est l'authentification résistante au phishing, la surveillance sensible à la session, et le blocage à l'échelle du navigateur des pages conçues pour récolter le consentement.

Voyez comment PhiShark ferme les failles AiTM et de bombardement par fatigue - explorez la plateforme et mettez une défense phishing native du navigateur et fondée sur les preuves là où votre périmètre d'identité vit réellement.

Vous voulez aller plus loin ? Parcourez notre blog pour plus d'analyses de défense contre le phishing, ou visitez le glossaire pour les définitions des termes clés du phishing et de la cybersécurité.