Dans le passé, les approches traditionnelles d'authentification multifacteur (MFA) suffisaient à fournir une couche de défense essentielle contre les attaques. Dans le paysage actuel, cependant, l'authentification multifacteur standard ne suffit pas.
Alors que les attaquants et les entreprises s'affrontent, les tentatives de contournement de l'authentification multifacteur (MFA) sont devenues une menace permanente, ce qui rend essentiel pour les organisations d'adopter une MFA résistante au phishing afin de réduire le vol d'identifiants et les accès non autorisés.
Selon le dernier rapport sur les tendances de connexion sécurisée d'Okta, le taux d'adoption des authentificateurs résistants au phishing a augmenté de 63 % depuis 2024. Cette augmentation s'est accompagnée d'une baisse de l'utilisation de facteurs d'authentification plus faibles tels que les SMS.
« Ce qui rend l'authentification multifacteur (MFA) résistant au phishing plus forte, c'est que, contrairement aux notifications SMS ou aux mots de passe à usage unique (OTP) envoyés par e-mail, les authentificateurs résistant au phishing sont liés aux URL légitimes. De plus, ils exploitent la cryptographie à clé publique et sont physiquement liés aux terminaux de l'utilisateur », explique Fei Liu, chercheur principal en technologies émergentes chez Okta. « Elle utilise également des méthodes telles que les clés de sécurité FIDO2 et la biométrie, et nécessite une interaction de l'utilisateur. »
Les attaquants n’aiment pas cela. En 2025, Okta Threat Intelligence a observé des attaques de phishing dans lesquelles des acteurs malveillants se sont fait passer pour le PDG d’une entreprise ciblée et ont tenté de persuader les utilisateurs ciblés de rejoindre un espace de travail Slack malveillant. Dans le cadre de la ruse, ils les ont exhortés à ne pas se connecter via Okta FastPass, l’authentificateur sans mot de passe d’Okta, contournant ainsi les défenses de sécurité de l’entreprise.
Dans un autre exemple d'activité de menace de l'année dernière, Okta a observé une plateforme de phishing-as-a-service connue sous le nom de VoidProxy, utilisée par des attaquants pour cibler les comptes Microsoft et Google. VoidProxy utilise des techniques d'attaque de type « adversary-in-the-middle » (AiTM) pour intercepter les flux d'authentification en temps réel afin de capturer les identifiants et les codes d'authentification multifacteur, ainsi que de voler tous les tokens de session établis pendant le processus de connexion.
Cette fonctionnalité a permis à VoidProxy de contourner plusieurs méthodes d'authentification multifacteur courantes, notamment les codes SMS et les mots de passe à usage unique (OTP) émis par les applications d'authentification. La découverte de VoidProxy a commencé après qu' Okta FastPass a empêché un utilisateur ciblé de se connecter via l'infrastructure proxy.
« Les attaquants recherchent toujours les proies faciles », explique Liu. « Plus vous la rendez difficile, plus vos réseaux et vos utilisateurs seront sécurisés. »
Il existe plusieurs façons pour les attaquants de tenter de contourner l'authentification multifacteur (MFA).
« Pour l'authentification multifacteur (MFA) traditionnelle/phishable, la façon la plus courante de la contourner est d'utiliser une attaque de type « adversary-in-the-middle » », explique-t-elle. « AiTM est une attaque où les attaquants insèrent un proxy entre un utilisateur et un site web légitime pour intercepter les communications et voler des identifiants tels que des mots de passe et des OTP, ainsi que des jetons de session. »
Autres exemples de contournement de MFA :
Attaques d'inscription MFA: si votre inscription d'authentificateur ou votre récupération de comptes autorise des identifiants ou une authentification multifacteur plus faibles que celles utilisées lors de l'authentification, les attaquants peuvent l'utiliser comme point d'entrée pour l'usurpation de compte (ATO).
Attaques de rétrogradation de l'authentification multifacteur résistantes au phishing: des attaques de rétrogradation de l'authentification multifacteur résistantes au phishing ont été observées dans la nature. En général, les attaquants forcent un système à abandonner l'authentification résistant au phishing et à revenir à une authentification multifacteur plus faible, puis utilisent AiTM pour contourner la protection d'authentification multifacteur.
Phishing par consentement d’application OAuth: Dans cette attaque, les cybercriminels incitent les utilisateurs à autoriser des applications tierces à accéder à leurs données, ce qui leur permet de contourner l’authentification multifacteur.
Les attaques traditionnelles par force brute se concentrent toujours principalement sur les authentificateurs basés sur la connaissance, explique Liu, ajoutant que l'utilisation d'authentificateurs basés sur la possession ou des facteurs biométriques peut réduire considérablement la probabilité d'usurpation de compte (ATO) par le biais d'attaques par force brute.
Alors que les cybercriminels intensifient leurs techniques de social engineering à l'aide de deepfakes et d'autres attaques basées sur l'IA, il incombe aux entreprises de superposer la sécurité dans leurs environnements. Cela signifie mettre en œuvre le Zero Trust, appliquer le moindre privilège et se concentrer sur la sécurisation de l'ensemble du cycle de vie de l'identité.
L'authentification multifacteur (MFA) reste un élément clé de cette stratégie, déclare Liu. Selon le rapport Secure connexion Trends, l'adoption de l'authentification multifacteur (MFA) par les utilisateurs a plus que doublé dans les environnements commerciaux d'Okta depuis 2019.
« Les organisations devraient passer à des authentificateurs résistants au phishing et, pour s'assurer qu'ils sont réellement utilisés comme prévu, appliquer la résistance au phishing dans leur politique d'accès aux applications », dit-elle. « Cela empêche les attaquants de forcer un système à revenir à une authentification MFA (Multi-Factor Authentication, authentification multifacteur) plus faible lors d'une attaque de rétrogradation. Bloquez, contestez ou enquêtez sur les demandes provenant d'adresses IP malveillantes qui ont attaqué votre organisation ou d'autres organisations. De plus, ayez une visibilité ou un contrôle sur le consentement de l'utilisateur aux applications tierces et mettez en œuvre des politiques qui exigent que les terminaux soient gérés ou conformes. »
Pour en savoir plus sur la manière dont l'authentification multifacteur (MFA) résistante au phishing d'Okta peut protéger votre environnement.
