Phishing 2.0 : Pourquoi votre MFA ne suffit plus (et comment les Passkeys changent la donne)

Date: 2025-12-18
category: CyberSécurité
tags: [MFA, Passkeys, Cybersecurity, Microsoft365, Phishing, FIDO2]

author: Wetandseaai

« J’ai activé la double authentification, je suis protégé. »

C’est la phrase que j’entends le plus souvent. C’est aussi, malheureusement, l’une des illusions les plus dangereuses de la cybersécurité actuelle.

Si la MFA (Multi-Factor Authentication) reste indispensable, sa version « classique » (SMS, notification Push simple) est désormais obsolète face aux attaques modernes. Dans cet article, nous allons décortiquer l’attaque qui fait trembler les DSI : l’attaque AitM (Adversary-in-the-Middle), et voir pourquoi les Passkeys sont la seule véritable réponse.

Le Mythe : « Le pirate doit casser mon code »

L’image d’Épinal du pirate qui « brute force » un mot de passe ou devine un code SMS est dépassée. Aujourd’hui, les attaquants ne forcent pas la serrure. Ils vous demandent poliment de l’ouvrir.

L’attaque AitM (Adversary-in-the-Middle) expliquée

Le scénario est d’une simplicité redoutable. Des kits de phishing automatisés (comme Evilginx2) permettent de créer des « proxies » inverses.

1. Le leurre : Vous recevez un mail (Microsoft 365, Google, etc.) vous demandant une action urgente.
2. Le miroir : Vous cliquez. L’URL ressemble à s’y méprendre à l’officielle, mais c’est un site intermédiaire géré par l’attaquant.
3. L’exécution :
   • Le site pirate affiche la vraie page de connexion.
   • Vous tapez votre mot de passe 👉 Le pirate le transmet au vrai site.
   • Le vrai site demande le code MFA 👉 Le pirate vous affiche la demande.
   • Vous validez la MFA 👉 Le pirate transmet la validation.

Le résultat ? Vous êtes connecté, tout semble normal. Mais le pirate a intercepté le trophée ultime : le Jeton de Session (Session Cookie).

💡 Le concept clé : Identité vs Session

• La MFA protège votre identité (le moment où vous prouvez qui vous êtes).
• Le Jeton (Token) gère votre session (ce qui vous maintient connecté sans retaper votre mot de passe).

Une fois le jeton volé via l’attaque AitM, le pirate n’a plus besoin de votre mot de passe, ni de votre téléphone. Il injecte le jeton dans son navigateur et accède à votre Cloud, vos mails et vos données.

La Solution : Pourquoi les Passkeys sont invulnérables au phishing

Face à l’humain qui peut être trompé visuellement, la réponse est cryptographique. C’est ici qu’interviennent les Passkeys (basées sur le standard FIDO2).

Une Passkey (sur votre iPhone, Android ou YubiKey) remplace le mot de passe. Mais sa véritable force réside dans le Domain Binding (liaison au domaine).

Le secret technique

Lorsque vous tentez de vous connecter avec une Passkey :

1. Le navigateur et l’authentificateur (votre téléphone) dialoguent.
2. L’authentificateur vérifie mathématiquement l’URL sur laquelle vous êtes.
3. Si l’URL est micros0ft-login.com au lieu de microsoft.com, la clé cryptographique refuse tout simplement de signer la demande.

C’est binaire. Pas de jugement humain, pas d’erreur possible. Si le domaine n’est pas le bon, l’authentification échoue localement. Le pirate ne reçoit rien.

Passkeys : Le risque zéro existe-t-il ?

Chez Wetandseaai, nous aimons la nuance. Si les Passkeys ferment la porte au phishing massif, d’autres vecteurs d’attaque émergent ou subsistent :

• Le Malware (Infostealer) : Si votre ordinateur est déjà infecté par un virus, celui-ci peut voler le jeton de session après que vous ayez légitimement utilisé votre Passkey. La sécurité du terminal (Endpoint) reste cruciale.
• Le vol physique + Code PIN : Si un voleur dérobe votre smartphone ET connaît votre code de déverrouillage, il peut utiliser vos Passkeys. (Note : Apple et Google renforcent actuellement ces protections avec des délais de sécurité et la biométrie obligatoire).
• L’Ingénierie Sociale (Recovery) : Le pirate peut tenter d’appeler le support informatique en se faisant passer pour vous pour réinitialiser le compte, contournant ainsi la technologie.

Conclusion : Il est temps de migrer

La sécurité est une course d’obstacles. L’attaque « Middle-Man » a rendu les mots de passe et les SMS aussi inefficaces que des barrières en papier.

Les bonnes pratiques pour 2025 :

1. Activez les Passkeys partout où c’est possible (Google, Apple, Microsoft, Amazon, GitHub).
2. Pour les entreprises : migrez vers une authentification FIDO2 ou Windows Hello for Business.
3. Considérez le SMS non plus comme une sécurité, mais comme une vulnérabilité.

La technologie évolue, nos réflexes doivent suivre. Votre visage ou votre empreinte sont désormais des clés bien plus sûres que n’importe quelle suite de caractères.