Pendant des années, les règles de cybersécurité élémentaires vous recommandaient d’activer la double authentification pour éviter les attaques. Le principe paraissait solide, et permettait de protéger l’utilisateur même si son mot de passe fuitait dans une base de données compromise. La solution a longtemps été présentée comme quasiment inviolable, et Microsoft affirmait que le 2FA bloquait 99 % des attaques automatisées. Dommage, ce n’est plus suffisant. Selon une enquête récemment publiée par la division cybersécurité de Google, près de la moitié de tous les incidents de sécurité traités en début 2024 impliquaient déjà des failles dans l’authentification multifacteur.
Voler la session plutôt que le mot de passe
Le changement de paradigme repose sur une idée simple : pourquoi essayer de contourner le 2FA quand on peut simplement attendre que l’utilisateur l’ait validé, puis voler ce qui vient après ? C’est la logique des attaques dites AiTM (Adversary-in-the-Middle), qui reposent sur un proxy invisible glissé entre la victime et le vrai site de connexion. L’utilisateur voit la vraie page Microsoft ou Google. Il entre son mot de passe. Il valide sa notification push ou son code d’authentification. Tout se passe normalement en apparence. Sauf qu’au moment où le service légitime émet un cookie de session pour confirmer l’authentification réussie, l’attaquant l’intercepte. Ce cookie lui suffit pour accéder au compte comme s’il était l’utilisateur authentifié, sans avoir besoin de repasser par aucun facteur.
Microsoft a documenté plus de 10 000 attaques AiTM par mois ciblant ses utilisateurs en 2024. En 2025, une seule plateforme de phishing-as-a-service baptisée Tycoon 2FA représentait à elle seule environ 62 % du volume de phishing bloqué par Microsoft, soit plus de 30 millions d’emails frauduleux en un seul mois. La plateforme a été démantelée en début 2026 par Microsoft, mais les arnaques persistent. Des outils comme EvilProxy, BlackForce ou EvilGinx2 proposent aux escrocs de contourner le MFA en temps réel pour quelques centaines de dollars.
Ce qui a changé, c’est la façon dont l’IA amplifie chacune des étapes de l’attaque. La reconnaissance préalable était autrefois manuelle et donc limitée en volume. Les LLM automatisent désormais la compilation de profils cibles en quelques secondes, et génèrent des emails de plus en plus difficiles à intercepter.
Le deepfake vocal comme nouveau vecteur d’attaque
La version la plus sophistiquée de ces attaques associe le phishing classique à une manipulation vocale en temps réel. CrowdStrike a documenté une hausse de 442 % du vishing (voice phishing) entre début et fin 2024. Les outils de clonage vocal par IA permettent désormais d’imiter n’importe quelle voix à partir de quelques secondes d’audio.
Il existe enfin une catégorie d’attaque que même le 2FA le plus robuste ne peut pas adresser : le consent phishing. Plutôt que de voler des identifiants, l’attaquant convainc l’utilisateur d’accorder des permissions OAuth à une application malveillante via un écran de consentement légitime. Une fois ce consentement accordé, les tokens d’accès obtenus fonctionnent indépendamment de tout mécanisme d’authentification.
La solution n’est pas d’abandonner le 2FA, qui reste une barrière efficace contre les attaques automatisées de masse. C’est de cesser de le traiter comme une protection suffisante en elle-même.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
