MFA Prompt Bombing : votre double auth peut être piégée

Vous avez fait le bon choix : vous avez activé la double authentification (MFA) pour protéger les accès de votre entreprise. Bravo. Mais saviez-vous que des pirates ont trouvé un moyen de la contourner sans pirater quoi que ce soit ? Pas besoin de faille technique, pas besoin de génie informatique. Juste de la patience… et un employé fatigué. Cette technique s'appelle le MFA prompt bombing, et elle fait des dégâts dans des PME qui se croyaient bien protégées.

C'est quoi exactement le MFA prompt bombing ?

Le principe est d'une simplicité déconcertante. Un pirate a obtenu le nom d'utilisateur et le mot de passe d'un de vos employés — via une fuite de données, un phishing ou un mot de passe trop simple. Normalement, le MFA devrait l'arrêter net : sans le code de validation envoyé sur le téléphone de votre employé, impossible d'entrer. Alors le pirate change de stratégie. Il tente de se connecter des dizaines, voire des centaines de fois de suite. À chaque tentative, votre employé reçoit une notification sur son téléphone : « Approuvez-vous cette connexion ? ». Ding. Ding. Ding. À 23h, en réunion, au volant, pendant le repas de famille… Les alertes s'accumulent. Et à un moment, excédé ou distrait, l'employé appuie sur « Approuver » juste pour que ça s'arrête. Le pirate est entré. C'est aussi simple que ça. Le contournement de la double authentification en PME n'a pas nécessité une seule ligne de code malveillant.

Pourquoi vos employés sont particulièrement vulnérables

Dans une grande entreprise, les équipes IT sensibilisent régulièrement les salariés à ce type de menace. Dans une PME, la réalité est différente : vos collaborateurs portent plusieurs casquettes, ils sont souvent débordés, et la cybersécurité n'est pas leur priorité du moment. Quand une notification push arrive pour la vingtième fois en une heure sur leur téléphone, leur réflexe naturel est de la faire disparaître. Ils ne pensent pas forcément « c'est une attaque » — ils pensent « bug informatique » ou « erreur de synchronisation ». Personne ne leur a expliqué que valider une demande qu'ils n'ont pas initiée eux-mêmes est exactement ce qu'un attaquant attend d'eux. La sécurité de l'authentification en entreprise repose aussi, et surtout, sur les humains.

Les conséquences concrètes pour une PME

Une fois la porte franchie, le pirate dispose d'un accès légitime à votre système. Il peut consulter vos e-mails, accéder à vos fichiers clients, lire vos documents comptables ou financiers, se déplacer discrètement dans votre réseau interne et préparer une attaque plus large — ransomware, fraude au virement, espionnage industriel. Le pire ? Comme il utilise un compte autorisé, les alertes de sécurité classiques ne déclenchent rien. Il peut rester invisible pendant des semaines. Pour une PME, les conséquences peuvent être fatales : perte de données critiques, amendes RGPD, atteinte à la réputation, voire cessation d'activité. Et tout ça parce qu'un employé a tapé « OK » sur son téléphone un soir de fatigue.

Ce que vous pouvez faire dès maintenant

1. Changez votre méthode MFA. Les notifications push « Approuver / Refuser » sont les plus vulnérables au MFA prompt bombing. Préférez une application qui demande à votre employé de saisir un code à 6 chiffres affiché à l'écran (Microsoft Authenticator, Google Authenticator), ou mieux, activez la « correspondance de nombre » : l'employé doit taper sur son téléphone le même chiffre que celui affiché sur l'écran de connexion. Cela supprime toute possibilité d'approbation en aveugle.

2. Activez les alertes de tentatives multiples. La plupart des outils professionnels (Microsoft 365, Google Workspace) permettent de bloquer automatiquement un compte après un certain nombre d'échecs MFA. Vérifiez que cette option est bien activée chez vous.

3. Formez vos équipes en 10 minutes. Organisez un point rapide avec vos collaborateurs : expliquez-leur qu'ils ne doivent jamais valider une demande MFA qu'ils n'ont pas eux-mêmes initiée. Si des notifications arrivent sans qu'ils aient tenté de se connecter, ils doivent immédiatement vous prévenir et changer leur mot de passe.

4. Envisagez les clés de sécurité physiques. Pour les accès les plus sensibles (comptabilité, direction, RH), une clé USB de sécurité (type YubiKey) est pratiquement impossible à contourner à distance. C'est un investissement modeste pour une protection maximale.

5. Faites auditer votre configuration MFA. Un prestataire cybersécurité peut vérifier en quelques heures si votre configuration actuelle est exposée à ce type d'attaque. Mieux vaut le savoir avant les pirates.