2fa-authenticationINFO

La MFA peut-elle etre contournee ? Comment les attaquants battent la 2FA en 2026 (et ce qui les arrete)

Oui, la MFA courante peut etre contournee : 2026 a vu exploser les kits de phishing qui volent les tokens de session en temps reel. Comment les attaques adversary-in-the-middle battent la MFA par SMS, application et push, et pourquoi les passkeys resistent au phishing.

Par Eric Gerard · Éditeur · PwdFortress4 min de lecturePhoto: Pexels

L'authentification multifacteur est l'une des meilleures habitudes de securite que vous puissiez avoir, il est donc troublant d'apprendre que les attaquants la contournent. La reponse honnete a la question "la MFA peut-elle etre contournee ?" est oui, les formes courantes le peuvent, et en 2026 cela se produit a grande echelle. Mais ce n'est pas une raison pour abandonner la MFA. C'est une raison pour comprendre quel type vous utilisez, car la solution est reelle et a portee de main.

La flambee de 2026

Les chercheurs en securite ont signale une forte hausse des kits de phishing concus specifiquement pour battre la MFA. Des boites a outils portant des noms comme Tycoon 2FA et d'autres agissent comme des proxys en temps reel qui recoltent les sessions de connexion a mesure qu'elles se produisent, et les rapports evoquent un bond enorme de l'activite de phishing, de l'ordre d'une augmentation de 1 380 % entre fin 2025 et debut 2026, portee par des kits de "phishing-as-a-service" bon marche et assistes par IA qui permettent a des attaquants peu qualifies de mener des campagnes convaincantes. La barriere pour contourner la MFA ordinaire a baisse, et c'est pourquoi cela vaut la peine d'etre compris maintenant.

Comment les attaquants volent votre session (AiTM)

La principale technique est le phishing adversary-in-the-middle (AiTM), et le detail ingenieux et pernicieux est que votre MFA fonctionne reellement : l'attaquant se contente d'en voler le resultat.

Voici le deroulement. Vous cliquez sur un lien et atterrissez sur une fausse page de connexion qui est en realite un proxy en direct vers le vrai site. Vous tapez votre mot de passe ; le proxy le transmet. Le vrai site demande votre code MFA ; vous le tapez, et le proxy le transmet aussi. Vous passez la verification, et le vrai site fait ce qu'il fait toujours : il renvoie un token de session, le cookie qui vous garde connecte. Le proxy attrape ce token, et l'attaquant peut desormais le rejouer et entrer directement dans votre compte, sans mot de passe ni code requis. Votre MFA a fait son travail ; ils ont simplement intercepte la session qu'elle a produite.

Les autres facons de battre la MFA

L'AiTM fait la une, mais ce n'est pas la seule voie :

  • Fatigue des push (MFA bombing) : l'attaquant, qui a deja votre mot de passe, inonde votre telephone de demandes d'approbation jusqu'a ce que vous tapiez "approuver" par habitude ou par agacement.
  • SIM swapping : un attaquant prend le controle de votre numero de telephone et recoit vos codes SMS, ce qui explique pourquoi la MFA par message texte est la plus faible.
  • Phishing par code d'appareil : on vous piege pour approuver une connexion qui autorise en realite l'appareil de l'attaquant.

Tuiles en bois formant le mot phishing. Les kits de phishing modernes ne se contentent pas de voler les mots de passe : ils capturent la session apres que vous avez passe la MFA.
Tuiles en bois formant le mot phishing. Les kits de phishing modernes ne se contentent pas de voler les mots de passe : ils capturent la session apres que vous avez passe la MFA.

Pourquoi les passkeys ne peuvent pas etre hameconnees

C'est la bonne nouvelle, et la vraie solution. Une passkey, construite sur les standards FIDO2 et WebAuthn, est cryptographiquement liee au domaine exact pour lequel elle a ete creee. Si un proxy de phishing vous envoie vers un site ressemblant, la passkey ne s'authentifiera pas, parce que le domaine ne correspond pas. Il n'y a aucun code a lire a voix haute, et rien qu'un proxy puisse transmettre. C'est precisement cette liaison au domaine que l'AiTM ne peut pas contourner, et c'est pourquoi les passkeys sont decrites comme resistantes au phishing, et pourquoi Google, Apple, Microsoft et les banques poussent les gens vers elles. Notre guide sur si les passkeys sont surs va plus loin.

Ce qu'il faut vraiment faire

  • Gardez la MFA activee partout. Elle bloque toujours l'ecrasante majorite des attaques : voyez ce qu'est la 2FA si vous avez besoin des bases.
  • Abandonnez le SMS quand vous le pouvez. Preferez une application d'authentification ou une cle de securite materielle aux codes par message texte.
  • Adoptez les passkeys sur chaque compte qui les propose. C'est la plus grande amelioration possible contre l'AiTM.
  • N'approuvez jamais une demande que vous n'avez pas lancee, et considerez les pages de connexion inattendues avec mefiance. C'est du phishing ordinaire, en plus tranchant.
  • Utilisez un gestionnaire de mots de passe. Il ne remplit vos identifiants que sur le vrai domaine, donc sur un site ressemblant, le remplissage automatique qui n'apparait tout simplement pas est un avertissement discret mais fiable.

En resume : oui, la MFA ordinaire peut etre contournee, et en 2026 elle l'est beaucoup, mais la reponse n'est pas de l'abandonner. Gardez la MFA activee, laissez tomber le SMS, et passez aux passkeys, qui ferment la porte par laquelle le phishing adversary-in-the-middle s'engouffre.

Questions fréquentes

La MFA peut-elle etre contournee ?

Oui, certaines formes le peuvent. Les formes courantes d'authentification multifacteur (codes SMS, codes d'application d'authentification et approbations push) peuvent etre battues par le phishing moderne, et en 2026 les attaquants le font a grande echelle. Mais cela ne veut pas dire que la MFA est inutile : elle bloque toujours l'ecrasante majorite des attaques, en particulier celles qui reposent uniquement sur un mot de passe. Le point cle est que toutes les MFA ne se valent pas : la MFA ordinaire peut etre contournee, tandis que la MFA resistante au phishing (passkeys et cles de securite materielles) ne le peut pas, parce qu'elle est liee au vrai site web et ne peut pas etre relayee vers un faux.

Comment les pirates contournent-ils la 2FA ?

La principale methode en 2026 est le phishing adversary-in-the-middle (AiTM). L'attaquant fait tourner une fausse page de connexion qui agit comme un proxy en direct vers le vrai site. Vous saisissez votre mot de passe et votre code 2FA sur la fausse page, elle les transmet au vrai site, et une fois que vous passez la verification, le vrai site delivre un token de session, que le proxy vole. L'attaquant rejoue ce token et se retrouve connecte sans jamais avoir besoin de votre mot de passe ou de votre code a nouveau. Les autres methodes incluent la fatigue des notifications push (spammer les demandes d'approbation jusqu'a ce que vous acceptiez) et le SIM swapping pour intercepter les codes SMS.

Cela veut-il dire que je devrais arreter d'utiliser la MFA ?

Non, continuez absolument a l'utiliser. La MFA arrete toujours la grande majorite des prises de controle de compte, en particulier les attaques automatisees qui reposent sur des mots de passe voles ou reutilises. La desactiver vous exposerait bien davantage, pas moins. La bonne reponse est d'ameliorer le type de MFA que vous utilisez : preferez les applications d'authentification ou les cles materielles au SMS, et passez aux passkeys partout ou elles sont proposees, car elles comblent la faille qu'exploite le phishing AiTM.

Pourquoi les passkeys ne peuvent-elles pas etre hameconnees ?

Une passkey (construite sur FIDO2 et WebAuthn) est cryptographiquement liee au domaine exact du site web pour lequel elle a ete creee. Si un attaquant vous envoie vers un faux site ressemblant, la passkey ne repondra tout simplement pas, parce que le domaine ne correspond pas : il n'y a aucun code a taper et rien qu'un proxy puisse relayer. C'est cette liaison au domaine qui rend les passkeys resistantes au phishing, et c'est pourquoi les grands fournisseurs poussent tout le monde vers elles.

Comment me proteger du contournement de la MFA ?

Utilisez la MFA partout, mais ameliorez-la : desactivez le SMS au profit d'une application d'authentification ou d'une cle materielle, et adoptez les passkeys sur tout compte qui les prend en charge (banques, Google, Apple, Microsoft et plus). N'approuvez jamais une demande de connexion que vous n'avez pas vous-meme lancee, et mefiez-vous de toute page de connexion inattendue. Un gestionnaire de mots de passe aide aussi : il ne remplit votre identifiant que sur le vrai domaine, donc si vous atterrissez sur un faux site de phishing ressemblant, le remplissage automatique qui ne se declenche pas est un signal d'alerte utile.