Phishing et double authentification : votre MFA n'est plus suffisant

Vous avez activé la double authentification pour vos collaborateurs. Bonne initiative — mais ce n'est plus suffisant. Depuis 2023, une nouvelle génération d'outils de phishing permet à des pirates, même peu expérimentés, de voler les identifiants de vos employés en temps réel, double authentification incluse. Des noms comme Tycoon 2FA ou Starkiller circulent sur des forums criminels pour quelques centaines d'euros par mois. Résultat : la protection que vous pensiez avoir peut être contournée en quelques minutes. Voici ce que cela signifie concrètement pour votre PME, et surtout, ce que vous pouvez faire.

Comment des pirates contournent la double authentification

La double authentification (MFA), c'est ce code à 6 chiffres reçu par SMS ou généré par une application comme Google Authenticator. Jusqu'ici, même si un pirate volait votre mot de passe, ce code l'arrêtait. Mais les techniques dites AitM — pour Adversary-in-the-Middle, soit « l'adversaire au milieu » — changent la donne. Concrètement, voici ce qui se passe : votre collaborateur reçoit un e-mail d'apparence parfaitement légitime (votre banque, Microsoft, un prestataire). Il clique sur le lien et tombe sur une fausse page de connexion, identique à l'originale. Il saisit son identifiant, son mot de passe, puis son code MFA. À ce moment précis, le logiciel du pirate transmet ces informations en temps réel au vrai site, récupère la session ouverte, et conserve un accès durable à votre compte. Votre collaborateur, lui, voit peut-être une page d'erreur et pense à une simple panne. Des outils comme Tycoon 2FA automatisent entièrement ce processus, sans que le pirate ait besoin d'être un expert. C'est la raison pour laquelle le phishing contournant le MFA est devenu l'une des principales menaces pour les PME françaises.

Pourquoi votre PME est une cible de choix

Beaucoup de dirigeants pensent que les pirates s'en prennent surtout aux grandes entreprises. C'est faux. Les PME représentent aujourd'hui la majorité des victimes de cyberattaques en France, précisément parce qu'elles ont moins de ressources dédiées à la sécurité. Un seul compte compromis — celui de votre comptable, de votre assistante ou d'un commercial — peut suffire à déclencher une fraude au virement, un vol de données clients ou une attaque par rançongiciel qui paralyse toute votre activité. Le coût moyen d'un incident cyber pour une PME dépasse 50 000 euros, sans compter les semaines perdues à tout reconstruire. La protection phishing pour votre entreprise ne peut plus reposer uniquement sur le MFA classique : il faut passer à l'étape suivante.

Les alternatives qui résistent vraiment : FIDO2 et passkeys

La bonne nouvelle, c'est qu'il existe des solutions concrètes, accessibles même sans service informatique dédié. La première s'appelle FIDO2 (prononcez « fi-do deux »). Il s'agit d'un standard de sécurité qui remplace le code à usage unique par une clé physique (une petite clé USB que vous branchez, comme une YubiKey) ou par la reconnaissance biométrique de votre téléphone. La différence fondamentale : cette authentification est liée au site légitime par un mécanisme cryptographique. Même si votre collaborateur clique sur un faux site, la clé refusera de s'activer — elle sait qu'elle n'est pas sur le bon domaine. Résultat : l'attaque AitM échoue. La seconde solution, les passkeys (« clés d'accès » en français), fonctionne sur le même principe. Vous les avez peut-être déjà rencontrées sur Apple, Google ou Windows : elles remplacent complètement le mot de passe par une authentification via votre empreinte digitale ou le déverrouillage de votre appareil. Pas de mot de passe à voler, pas de code MFA à intercepter. De grandes plateformes comme Microsoft 365, Google Workspace ou Dropbox supportent déjà ces technologies. Pour contourner le MFA dans votre PME, les pirates comptent sur vos vieilles habitudes — il suffit parfois de changer de méthode pour leur fermer la porte.

Ce que vous pouvez faire dès maintenant

1. Remplacez les codes SMS par une application d'authentification. Les SMS sont la forme de MFA la plus vulnérable. Microsoft Authenticator ou Google Authenticator sont gratuits et bien plus sûrs. C'est une première étape simple à déployer cette semaine. 2. Activez les passkeys sur vos outils principaux. Si vous utilisez Microsoft 365 ou Google Workspace, rendez-vous dans les paramètres de sécurité de vos comptes : les passkeys y sont déjà disponibles et s'activent en quelques clics. 3. Investissez dans des clés de sécurité physiques pour vos postes sensibles. Comptable, dirigeant, accès bancaire : une clé FIDO2 comme une YubiKey coûte entre 30 et 60 euros et offre une protection quasi-inviolable contre le phishing. 4. Formez vos collaborateurs avec un exemple concret. Pas besoin d'une longue formation : montrez-leur à quoi ressemble un vrai e-mail de phishing et expliquez qu'un code MFA peut désormais être intercepté s'ils le saisissent sur une fausse page. Trente minutes suffisent. 5. Faites auditer vos accès par un prestataire spécialisé. Un expert en cybersécurité peut identifier en quelques heures les comptes les plus exposés dans votre organisation et prioriser les actions. Easy-cyber.tech propose un accompagnement adapté aux PME, sans jargon ni budget démesuré.