Il est 2h17 du matin. Votre téléphone vibre. Une notification push de Microsoft Authenticator : « Essayez-vous de vous connecter ? Approuver / Refuser. » Vous appuyez sur Refuser et posez le téléphone écran contre la table. Vingt secondes plus tard, il vibre à nouveau. Puis encore. Et encore. Au septième ou huitième alerte, vous êtes à moitié réveillé, confus quant à savoir si vous avez réellement lancé une session de connexion plus tôt dans la soirée — peut-être avez-vous laissé un onglet ouvert ? — et à la quinzième notification, vous appuyez sur Approuver rien que pour faire cesser le bruit.
Félicitations. Un attaquant qui a acheté vos identifiants d’entreprise pour douze dollars sur un forum du dark web vient de franchir la porte d’entrée du réseau de votre entreprise.
C’est la fatigue d’authentification multi-facteurs, et il ne s’agit plus d’un cas limite exotique. C’est désormais l’une des techniques d’accès initial les plus fréquemment recensées dans les enquêtes sur les violations d’entreprise.
Ce qu’est la Fatigue MFA
L’authentification multi-facteurs était censée être la réponse définitive aux mots de passe volés. Même si un attaquant obtient un nom d’utilisateur et un mot de passe valides — par hameçonnage, une fuite de données d’identification, ou un logiciel malveillant voleur d’informations — il ne peut toujours pas se connecter sans le second facteur que détient l’utilisateur légitime.
Le MFA par push exploite un défaut de conception dans cette logique : le second facteur est approuvé par un être humain. Et les humains s’épuisent.
Dans une attaque par push bombing, l’attaquant alimente une boucle de connexion automatisée avec les identifiants valides de la victime. Chaque tentative échouée déclenche une nouvelle notification push sur l’appareil enregistré de la victime. L’attaquant fait tourner la boucle en continu — des dizaines, parfois des centaines de fois — sur des heures, toute la nuit, ou durant les premières heures du matin choisies spécifiquement parce que la résistance cognitive y est la plus faible.
La mécanique est simple. Les attaquants obtiennent des identifiants à partir de bases de données de brèches, de kits d’hameçonnage, ou de logiciels malveillants voleurs d’informations tels que RedLine ou Raccoon. Ils scriptent ensuite une boucle d’authentification contre le fournisseur d’identité cible — Azure AD, Okta, Duo, ou toute autre plateforme. Chaque itération de la boucle génère un nouveau push. Parce que la demande d’authentification est techniquement légitime (vrais identifiants, vrai point de terminaison), le fournisseur d’identité ne peut pas la distinguer d’une vraie connexion.
La couche d’ingénierie sociale amplifie l’attaque mécanique. En parallèle du bombardement de notifications, l’attaquant contacte la victime via WhatsApp, Signal, LinkedIn, ou un e-mail d’entreprise usurpé, se faisant passer pour le support informatique : « Nous détectons une activité de connexion inhabituelle sur votre compte. Veuillez approuver l’invite de vérification pour que nous puissions enquêter et bloquer l’acteur menaçant. » La victime, désormais conditionnée par la tempête de notifications et rassurée par une apparente intervention informatique, approuve. L’attaquant est connecté.
Le Hack d’Uber : Une Étude de Cas en Exposition Corporative
La violation d’Uber en septembre 2022 demeure l’exemple le plus étudié de fatigue MFA à l’échelle d’une entreprise. L’attaquant — plus tard identifié comme un adolescent affilié au collectif de hackers Lapsus$ — avait acheté les identifiants VPN valides d’un sous-traitant d’Uber sur une place de marché du dark web.
Le compte du sous-traitant était protégé par un MFA par push. L’attaquant a initié des tentatives d’authentification répétées, chacune générant une notification push sur le téléphone du sous-traitant. Après avoir reçu plus de trente notifications, le sous-traitant a cessé de les refuser. L’attaquant a ensuite contacté le sous-traitant directement via WhatsApp, se présentant comme un employé de la sécurité informatique d’Uber et déclarant que les notifications s’arrêteraient dès que le sous-traitant approuverait la demande.
Le sous-traitant a approuvé. L’attaquant a accédé au VPN d’Uber et, une fois dans le périmètre interne, a découvert un partage réseau contenant des scripts PowerShell. Intégrés dans ces scripts se trouvaient des identifiants administratifs codés en dur pour le système PAM (gestion des accès privilégiés) Thycotic d’Uber. Ces identifiants donnaient accès à pratiquement chaque service interne : AWS, Google Cloud, Slack, HackerOne, et les propres rapports de bug bounty d’Uber — y compris des divulgations de vulnérabilités non corrigées.
La violation entière, de l’approbation initiale à l’accès interne complet, a pris moins de deux heures. Le coût n’était pas un exploit zero-day sophistiqué. C’était un sous-traitant fatigué et un message WhatsApp trompeur.
Uber n’était pas particulièrement négligent. La même technique — achat d’identifiants, push bombing, ingénierie sociale — a été utilisée dans des violations documentées contre Cisco, Twilio, Cloudflare, MGM Resorts, et plusieurs institutions financières non nommées. Dans l’incident Cloudflare, le pré-déploiement de clés matérielles FIDO2 par l’entreprise a fait échouer l’attaque ; l’approbation du push par le sous-traitant n’a pas produit d’accès de session valide parce que Cloudflare avait déjà migré hors du MFA par push pour les systèmes privilégiés.
Pourquoi Cela Fonctionne sur les Humains
Le problème structurel le plus persistant de la cybersécurité est que son maillon le plus faible n’est pas un logiciel — c’est le système nerveux humain opérant sous pression temporelle et surcharge d’informations.
Les notifications push génèrent une dette cognitive. Chaque alerte non résolue exige une attention mentale. Lorsque les notifications arrivent en torrent, le cerveau passe d’une évaluation délibérée (« Ai-je initié une connexion ? ») à des heuristiques de complétion de schéma (« Ces choses se résolvent habituellement quand j’appuie sur Approuver »). Les psychologues appellent cela la fatigue décisionnelle ; les praticiens de la sécurité l’appellent cécité aux notifications. Le résultat est le même : une action protectrice — l’appui sur Refuser — est remplacée par une action conçue pour mettre fin à l’irritant.
Le timing est délibéré. Les attaquants lancent préférentiellement les campagnes de push bombing entre minuit et 5h du matin heure locale, ou pendant les week-ends, lorsque les victimes dorment, voyagent, ou sont distraites. L’approbation d’une seule notification, à moitié conscient, peut ouvrir tout un réseau d’entreprise. L’attaquant n’a besoin que d’un seul moment de vigilance réduite sur une campagne arbitrairement longue.
La couche d’ingénierie sociale supprime la dernière ligne de défense : la méfiance. Un appel ou un message bien scripté d’usurpation d’identité informatique rassure la victime que l’approbation du push est la bonne action de sécurité, inversant le réflexe protecteur. On dit à la victime que refuser permettra à l’attaquant d’entrer ; en réalité, approuver est exactement ce dont l’attaquant a besoin.
Publicité
L’Évolution au-delà du Push Bombing
Les acteurs malveillants sophistiqués ne s’appuient pas uniquement sur la fatigue push. Plusieurs techniques complémentaires étendent leur portée aux méthodes MFA qui n’utilisent pas de notifications push.
Le SIM swapping cible le SMS-OTP comme second facteur. En manipulant socialement le personnel de support d’un opérateur mobile pour transférer le numéro de téléphone de la victime vers une SIM contrôlée par l’attaquant, celui-ci intercepte tous les messages texte, y compris les mots de passe à usage unique. Le SIM swapping est bien documenté dans le vol de cryptomonnaies et a été utilisé contre des cibles de haute valeur, dont des dirigeants d’entreprise et des fonctionnaires gouvernementaux.
Le phishing d’OTP utilise un relais en temps réel. L’attaquant présente une page de phishing convaincante qui imite un portail de connexion légitime. Lorsque la victime saisit ses identifiants, l’attaquant les relaie vers le vrai site en temps réel et demande un code à usage unique. La victime reçoit et saisit l’OTP sur la fausse page ; l’attaquant le capture et le saisit sur le vrai site avant qu’il n’expire (généralement en trente secondes). Des outils tels qu’Evilginx2 et Modlishka automatisent ce relais, proxysant toute la session d’authentification et capturant les cookies de session qui restent valides après la complétion de l’authentification.
Les attaques adversariales-au-milieu (AiTM) représentent le niveau de sophistication le plus élevé. Plutôt que de voler séparément les identifiants et les OTP, les proxies AiTM interceptent la session HTTPS complète entre la victime et le fournisseur d’identité, capturant les jetons de session post-authentification. Ces jetons contournent entièrement le MFA parce que l’authentification a déjà eu lieu. Les attaques AiTM sont de plus en plus utilisées dans les campagnes de compromission de messagerie professionnelle, permettant aux attaquants d’usurper l’identité de dirigeants depuis leurs véritables comptes e-mail.
Le fil conducteur de toutes ces techniques : elles ne cassent pas le MFA cryptographiquement. Elles le contournent en attaquant la cérémonie d’authentification — le moment humain, la fenêtre de relais, ou la couche de session — plutôt que la primitive cryptographique elle-même.
MFA Résistant au Phishing : La Seule Défense Efficace
Le terme « MFA résistant au phishing » a une signification technique précise. Il désigne les méthodes d’authentification dans lesquelles le second facteur est cryptographiquement lié au domaine spécifique en cours d’authentification et ne peut être relayé, rejoué, ou hameçonné.
Les clés de sécurité matérielles FIDO2/WebAuthn — YubiKey, Google Titan, Feitian — génèrent un défi-réponse en utilisant une paire de clés asymétriques stockée sur le dispositif matériel. La réponse est cryptographiquement liée au domaine d’origine. Un proxy de phishing ne peut pas relayer cette réponse vers un domaine différent ; la poignée de main cryptographique échouera. CISA recommande désormais formellement FIDO2 comme la référence absolue pour le MFA résistant au phishing et le mandate pour les agences fédérales américaines en vertu de la Directive Opérationnelle Contraignante 22-09.
Les passkeys étendent FIDO2 aux authentificateurs de plateforme — les capteurs biométriques intégrés dans les smartphones et ordinateurs portables modernes. Un passkey est une information d’identification liée à l’appareil qui remplace à la fois le mot de passe et la notification push. Parce que la clé privée ne quitte jamais l’appareil et que l’information d’identification est liée au domaine, les passkeys sont résistantes au phishing, au push bombing, et au proxying AiTM. Apple, Google et Microsoft ont intégré la prise en charge des passkeys dans leurs systèmes d’exploitation et plateformes d’identité.
La correspondance de numéros est un contrôle de transition pour les organisations qui ne peuvent pas immédiatement migrer hors du MFA par push. Microsoft Authenticator, Duo, et d’autres plateformes prennent désormais en charge les invites de correspondance de numéros : la page de connexion affiche un nombre à deux chiffres, et l’utilisateur doit entrer ce numéro spécifique dans l’application Authenticator pour approuver. Cela élimine l’approbation sans contexte, car un utilisateur fatigué ne peut pas simplement appuyer sur Approuver — il doit lire et transcrire un code, ce qui requiert suffisamment d’éveil pour reconnaître une invite inhabituelle ou inattendue.
L’authentification contextuelle ajoute des signaux comportementaux — posture de santé de l’appareil, localisation géographique, caractéristiques réseau, et références temporelles — à la décision d’authentification. Une approbation depuis un nouvel appareil dans un pays inattendu à 3h du matin déclenche une authentification renforcée ou bloque complètement la tentative. Mise en œuvre correctement, le MFA adaptatif crée des frictions pour les attaquants opérant depuis une infrastructure inconnue tout en restant transparent pour les utilisateurs légitimes.
Ce que les Organisations Doivent Faire
La communauté de la sécurité a atteint un consensus sur les actions minimales requises pour remédier à la fatigue MFA :
Mandater le MFA résistant au phishing pour tous les comptes privilégiés immédiatement. Les administrateurs, les utilisateurs d’accès à distance, les dirigeants, et toute personne ayant accès aux systèmes de gestion des identités représentent les cibles les plus précieuses. Les clés matérielles FIDO2 ou les passkeys devraient remplacer le MFA par push pour ces comptes en première priorité, non pas comme une aspiration à long terme.
Déployer la correspondance de numéros sur tous les déploiements MFA par push. Pour la large population d’employés pas encore migrée vers FIDO2, la correspondance de numéros est un contrôle à faible friction et à fort impact qui élimine l’approbation aveugle. La plupart des grandes plateformes Authenticator l’ont rendu disponible ; de nombreuses organisations ne l’ont pas encore activé.
Implémenter la détection d’anomalies sur les schémas d’authentification. Un seul compte générant trente tentatives MFA échouées en une heure est un signal d’attaque sans ambiguïté. Les plateformes d’identité et les SIEM devraient alerter sur ce schéma en temps réel, déclenchant un verrouillage automatique du compte et une réponse à l’incident.
Mener une formation explicite sur la fatigue MFA. La plupart des programmes de sensibilisation à la sécurité couvrent la reconnaissance des e-mails d’hameçonnage ; peu forment explicitement les utilisateurs à reconnaître les attaques de push bombing et les accompagnements d’ingénierie sociale. Les employés doivent comprendre que le support informatique légitime ne leur demandera jamais d’approuver une notification push et que des invites inattendues répétées signifient qu’un attaquant possède leur mot de passe.
Adopter l’accès réseau zéro confiance (ZTNA). Même si un attaquant contourne le MFA, les architectures zéro confiance limitent le rayon d’explosion en appliquant l’accès au moindre privilège, les vérifications de santé des appareils, et la réévaluation continue des sessions. La violation d’Uber était catastrophique en partie parce que l’accès VPN, une fois accordé, offrait de larges capacités de déplacement latéral. Le ZTNA élimine la confiance implicite qui a rendu ce déplacement possible.
Le MFA n’est pas défaillant. Il reste un contrôle critique. Mais le MFA par push déployé sans contrôles complémentaires possède un vecteur de contournement bien documenté que les attaquants utilisent à grande échelle. Les organisations qui traitent le MFA comme une case à cocher plutôt que comme une posture de sécurité en couches sont celles dont les sous-traitants approuvent des notifications à 2h du matin.
Questions Fréquemment Posées
Qu’est-ce que mfa fatigue attacks ?
Cet article couvre les aspects essentiels de ce sujet, en examinant les tendances actuelles, les acteurs clés et les implications pratiques pour les professionnels et les organisations en 2026.
Pourquoi mfa fatigue attacks est-il important ?
Ce sujet est important car il a un impact direct sur la façon dont les organisations planifient leur stratégie technologique, allouent leurs ressources et se positionnent dans un paysage en évolution rapide.
Quels sont les points clés à retenir de cet article ?
L’article analyse les mécanismes clés, les cadres de référence et les exemples concrets qui permettent de comprendre le fonctionnement de ce domaine, en s’appuyant sur des données actuelles et des études de cas.
Sources et lectures complémentaires
- CISA — Mise en œuvre du MFA résistant au phishing (fiche pratique)
- Uber — Mise à jour de sécurité sur la violation de 2022
- Microsoft Security Blog — Détection et confinement des attaques par fatigue MFA
- FIDO Alliance — Les passkeys : l’avenir sans mot de passe
- Verizon — Rapport sur les enquêtes de violation de données (DBIR), chapitre ingénierie sociale
- Proofpoint — Techniques de contournement du MFA et défenses
