Vol d'identifiants et contournement de la MFA : comprendre et se protéger
Aujourd'hui, la majorité des intrusions commencent de la même façon : un identifiant volé. La MFA est la parade essentielle — mais elle n'est pas magique, et les attaquants ont appris à la contourner. Comprendre comment, c'est savoir où mettre vraiment ses défenses.
L'essentieldécideur Le vol d'identifiants domine le paysage des intrusions, et les comptes Microsoft 365 sont la cible n°1. La MFA reste indispensable et bloque l'immense majorité des tentatives — mais des techniques comme l'AiTM (proxy pirate qui vole le jeton de session) permettent de la contourner. La vraie parade : une MFA résistante au phishing (passkeys, clés FIDO2) sur les accès sensibles, plus de la détection d'anomalies. À noter : en 2026, l'absence de MFA sur des systèmes sensibles peut être vue comme un manquement à l'obligation de sécurité (CNIL).
AiTM : comment un attaquant contourne la MFA en temps réel
Tous les facteurs ne se valent pas : l'échelle de robustesse
La MFA reste indispensable. Mais face à l'AiTM, seuls les facteurs résistants au phishing (passkeys, clés FIDO2) bloquent réellement le vol de session.
Comment les identifiants sont volés technique
Phishing (souvent via AiTM) : la victime saisit ses identifiants sur une fausse page.
Credential stuffing : rejeu massif de couples login/mot de passe issus de fuites antérieures (d'où le danger de réutiliser ses mots de passe).
Password spraying : test de quelques mots de passe très courants sur de nombreux comptes pour rester sous le radar.
Comment la MFA se contourne
La MFA n'est pas infaillible. Les techniques observées :
AiTM (Adversary-in-the-Middle) : un proxy inverse se place entre la victime et le vrai service. Il relaie tout, y compris le code MFA, puis vole le cookie de session. Avec ce jeton, l'attaquant accède au compte sans repasser par la MFA. C'est aujourd'hui la technique dominante : la majorité des contournements MFA reposent sur le vol de jeton de session.
MFA fatigue : envoi répété de notifications push jusqu'à ce que l'utilisateur, lassé, en accepte une.
SIM swap : détournement du numéro de téléphone pour intercepter les codes SMS — d'où la faiblesse de la MFA par SMS.
Le message clé n'est pas « la MFA est inutile » — c'est l'inverse. La MFA bloque l'écrasante majorité des attaques basées sur des identifiants volés. Mais sur les accès critiques (admin, cloud), il faut une MFA résistante au phishing : les passkeys et clés FIDO2 ne transmettent rien de rejouable et neutralisent l'AiTM.
Les parades, par ordre d'efficacité
MFA partout, en priorité sur les comptes admin et le cloud (M365, Google Workspace). C'est la base non négociable.
Passkeys / FIDO2 sur les accès sensibles : seule défense réellement résistante à l'AiTM.
Accès conditionnel : restreindre par appareil géré, localisation, horaire — réduit l'utilité d'un jeton volé.
Détecter les anomalies : une rafale d'échecs MFA, une connexion depuis un pays inhabituel, une règle de transfert d'e-mails créée sans raison = signaux de compromission à traiter en priorité.
Gestionnaire de mots de passe + mots de passe uniques : tue le credential stuffing.
Révoquer les sessions en cas de doute (le changement de mot de passe seul ne tue pas un jeton déjà volé).