Avony/Le Lab/Sécurité
Sécurité 5 min de lecture·22 octobre 2024

MFA : les angles morts que même les DSI ignorent

Le MFA protège, mais pas de tout. MFA fatigue, SIM swapping, phishing de tokens… Les attaques qui contournent l'authentification à deux facteurs se multiplient.

Le MFA est indispensable — mais pas infaillible

L'authentification multifacteur (MFA) a révolutionné la sécurité des comptes. Activer le MFA réduit le risque de compromission de compte de plus de 99 % selon Microsoft. C'est un fait. Mais de nouvelles techniques d'attaque ciblent spécifiquement les systèmes MFA, et les PME doivent en être conscientes.

La MFA fatigue : l'attaque la plus simple du monde

Le principe est brutal dans sa simplicité : l'attaquant connaît votre mot de passe (via une fuite ou du phishing). Il déclenche des dizaines de demandes d'authentification MFA sur votre téléphone, à n'importe quelle heure, jusqu'à ce que vous approuviez par accident ou par épuisement.

En 2022, c'est ainsi qu'Uber a été compromis : un employé a finalement approuvé une notification à 1 h du matin pour que les alertes s'arrêtent.

Solution : passer des notifications push aux codes à 6 chiffres (TOTP), ou mieux, aux clés FIDO2 (passkeys). Microsoft Authenticator permet aussi d'activer la correspondance de nombre — l'utilisateur doit saisir un code affiché à l'écran, ce qui rend l'approbation accidentelle impossible.

Le phishing de tokens : voler la session, pas le mot de passe

Des outils comme Evilginx2 agissent comme un proxy transparent entre vous et Microsoft 365. Vous voyez la vraie page de connexion, vous entrez votre MFA, la session s'ouvre — et l'attaquant récupère votre cookie de session authentifié.

Une fois le cookie volé, il n'a plus besoin de votre mot de passe ni de votre MFA : il est vous.

Solution : les clés FIDO2 physiques (YubiKey, clés Microsoft compatibles) résistent à ce type d'attaque car l'authentification est liée au domaine exact — un proxy ne peut pas l'intercepter.

SIM swapping : votre numéro de téléphone n'est pas sûr

Si votre MFA repose sur des SMS, un attaquant peut convaincre votre opérateur de transférer votre numéro sur une nouvelle SIM. Il reçoit alors tous vos codes SMS.

Solution : n'utilisez jamais les SMS comme méthode MFA pour les comptes critiques. Utilisez une application (Microsoft Authenticator, Google Authenticator) ou une clé physique.

Le bon ordre de priorité pour les PME

  1. Activer le MFA partout (même imparfait, c'est infiniment mieux que rien)
  2. Passer des SMS aux applications d'authentification
  3. Activer la correspondance de nombre dans Microsoft Authenticator
  4. Pour les comptes admin et dirigeants : envisager les clés FIDO2

Les attaques évoluent, mais chaque couche supplémentaire décourage l'attaquant qui cherche toujours la cible la plus facile.

Vous voulez mettre ces bonnes pratiques en place ?

Avony s'occupe de tout : déploiement, configuration et suivi. Contactez-nous pour un audit gratuit.

Prendre contact
← Retour au Lab

Prêt à simplifier votre informatique ?

Discutons de votre projet. Contactez-moi pour une analyse gratuite.

Pour plus d'informations, téléchargez ma brochure.
Ou remplissez le formulaire

© 2026 Avony. Tous droits réservés.

Conçu pour les TPE en Belgique. · Mentions légales · CGV