MFA bypass en 2026 : pourquoi votre 2FA Microsoft 365 ne vous protège plus contre les attaques AiTM (Adversary-in-the-Middle)

Pendant 5 ans, on a martelé : "activez le MFA, c'est 99 % d'attaques évitées". C'était vrai. Mais en 2025-2026, le paysage a basculé. Microsoft Threat Intelligence a documenté 10 000 organisations victimes d'attaques AiTM (Adversary-in-the-Middle) sur Microsoft 365 entre janvier et septembre 2025 — toutes équipées de MFA. Le MFA "classique" (SMS, app, push, OTP) n'est plus suffisant. Voici comment l'attaque fonctionne, comment la détecter, et comment vraiment s'en protéger en 2026.

Comment fonctionne une attaque AiTM (Adversary-in-the-Middle)

Le principe : au lieu de voler vos identifiants et de tenter de se connecter (l'attaque échoue à cause du MFA), l'attaquant intercepte votre session active après que vous vous êtes authentifié — y compris MFA validé.

Le flow d'attaque en 5 étapes

1. Phishing initial : vous recevez un email qui vous invite à cliquer (typiquement : "Vous avez reçu un document partagé", "Votre paie est disponible", etc.). Le lien pointe vers un domaine attaquant qui ressemble à login.microsoftonline.com mais qui s'appelle login-microsoftonline-secure.com ou utilise un homoglyphe (login.microsöftonline.com).

2. Proxy transparent : au lieu de copier la page Microsoft, l'attaquant fait office de proxy. Vous voyez la VRAIE page de login Microsoft 365 — parce qu'elle est servie par l'attaquant qui la relaie depuis Microsoft. C'est Evilginx, Modlishka ou Muraena en pratique.

3. Vous saisissez identifiants + MFA : tout fonctionne normalement, Microsoft vous demande le code MFA app/SMS, vous le validez. L'attaque est invisible pour vous.

4. Le proxy intercepte le cookie de session : une fois authentifié, Microsoft envoie un cookie de session (et un refresh token) à votre navigateur. L'attaquant en intercepte une copie via le proxy.

5. L'attaquant injecte le cookie dans son navigateur : il est maintenant connecté en tant que vous, sans avoir besoin d'identifiants ni de MFA. Le token de session reste valide 1h à 90 jours selon votre config.

Pourquoi le MFA classique n'aide pas

Le MFA classique vérifie : "est-ce bien la personne au moment du login ?". Mais il ne protège PAS la session après login. Une fois le cookie de session généré, il est "transférable" — n'importe quel navigateur avec ce cookie est traité comme légitime par Microsoft. C'est par design : sinon il faudrait re-MFA à chaque clic.

Toutes les formes de MFA classique sont concernées :

- SMS : code transmis pendant le login, intercepté par le proxy

- App Authenticator (TOTP) : même chose, code intercepté

- Push notification simple ("approuver/refuser") : le push valide la VRAIE session Microsoft, mais le proxy en récupère le cookie après

- Number matching (taper un code de 2 chiffres affiché) : pareil

Les chiffres 2026 — l'attaque explose

Microsoft a publié ses statistiques d'attaques AiTM en mars 2026 :

- Octobre 2022 : 200 attaques AiTM/mois identifiées dans M365

- Septembre 2025 : 10 000 attaques/mois — × 50 en 3 ans

- Janvier 2026 : 23 % des compromissions de comptes M365 sont via AiTM, contre 4 % en 2023

Les kits sont en vente libre sur les forums du Dark Web : 200-1 500 € pour un Evilginx Pro avec phishlets prêts à l'emploi pour Microsoft, Google, Okta, LinkedIn… À ce prix-là, n'importe quel script kiddie peut monter une campagne.

Comment détecter une compromission AiTM

Trois signaux à surveiller dans vos logs Microsoft 365 (Azure AD > Sign-in logs) :

1. Connexion immédiatement suivie d'une connexion depuis un autre pays : le légitime se connecte depuis Avignon à 9h02, l'attaquant depuis Moscou à 9h03 avec le même cookie. Le compte est compromis.

2. Création d'une nouvelle règle de transfert d'inbox : l'attaquant configure systématiquement une règle qui forward tous les mails vers son adresse externe. À chercher dans Exchange Admin Center > règles de boîte aux lettres.

3. Enregistrement d'une nouvelle application OAuth : technique de persistance — l'attaquant crée une app avec permissions Mail.Read/Mail.Send, qui survit même si l'utilisateur change son mot de passe. Audit Azure AD > Applications d'entreprise > nouvelles entrées.

La SEULE contre-mesure efficace en 2026 : MFA phishing-resistant (FIDO2 / Passkeys)

Le standard FIDO2 (alliance FIDO + W3C) résout le problème AiTM par design. Comment ?

1. Cryptographie asymétrique : la clé FIDO2 génère une paire de clés cryptographiques. La clé privée ne quitte JAMAIS le device (Yubikey, smartphone avec passkey iCloud/Google, Windows Hello with biometrics, Touch ID Mac).

2. Domain binding : la clé est cryptographiquement liée à l'URL exacte du site (origin). login.microsoftonline.com n'est PAS login-microsoftonline-secure.com pour la clé FIDO2 — elle refuse de signer une authentification pour un domaine non enregistré.

3. Pas de secret à intercepter : ce qui est échangé n'est pas un code ou un cookie, mais une signature unique à chaque login. Aucune valeur reusable même si l'attaquant la capture.

Conséquence : un proxy AiTM ne fonctionne PAS. Quand le navigateur essaie d'authentifier sur le faux domaine, la clé FIDO2 refuse de signer. L'utilisateur voit "Could not verify" ou rien ne se passe. L'attaque échoue.

Concrètement : passer en FIDO2 dans une PME

Option 1 : Yubikey FIDO2

Clés USB physiques avec capteur NFC. ~50 €/clé. Achetez 2 clés par utilisateur (1 principal + 1 backup). Enregistrement dans Microsoft 365 : Azure AD > Sécurité > Méthodes d'authentification > activer FIDO2, puis chaque utilisateur enregistre via "myprofile.microsoft.com > sécurité". 5 minutes par utilisateur.

Avantages : cross-platform (Windows, Mac, Linux, iOS, Android), pas de dépendance à un device perso, ultra-fiable.

Inconvénients : il faut acheter les clés. Risque de perte (d'où la 2e clé backup).

Option 2 : Passkeys (Apple, Google, Microsoft)

Authentification biométrique stockée sur smartphone/laptop. Gratuit. Synchro entre devices via iCloud Keychain (Apple), Google Password Manager, Microsoft Authenticator (depuis 2024). Setup encore plus simple : "Ajouter passkey" depuis le profil M365.

Avantages : gratuit, intégré aux devices existants, expérience utilisateur excellente.

Inconvénients : dépendance à l'écosystème personnel (si un utilisateur change d'iPhone vers Android, il faut ré-enregistrer). Moins adapté en environnement très contrôlé.

Option 3 : Windows Hello for Business

Si vous êtes sur Windows 11 avec TPM 2.0, vous pouvez utiliser le Windows Hello (biométrie ou PIN) comme méthode FIDO2 natif M365. Gratuit, intégré. Setup via Intune ou GPO.

Plan d'action 90 jours pour une PME — passer en MFA phishing-resistant

Mois 1 : activer FIDO2 comme méthode d'auth dans Azure AD. Acheter 2 Yubikey par dirigeant et admin (10-20 clés selon la taille). Tester le flow sur 2-3 utilisateurs pilotes. Documenter le process d'enregistrement et de remplacement.

Mois 2 : déploiement progressif. Tous les comptes admins en FIDO2 obligatoire (Conditional Access policy : "block legacy MFA for admin roles"). Les utilisateurs standards reçoivent une formation 15 min + setup.

Mois 3 : Conditional Access durcie. Block legacy MFA pour tous les utilisateurs sauf exceptions documentées. Désactiver SMS comme méthode d'auth. Audit : qui n'a pas FIDO2 ? Pourquoi ?

Coût total pour 20 utilisateurs : 1 500-2 000 € de clés + 5-10h de config admin. ROI : si vous évitez UNE compromission de compte (coût moyen 35-80 k€ en France), c'est largement amorti.

Et si je ne peux pas passer en FIDO2 tout de suite ?

Mesures temporaires en attendant (qui ne suffisent PAS, mais réduisent le risque) :

- Conditional Access geofencing : bloquer les connexions hors France/UE

- Session lifetime court : forcer ré-authentification toutes les 1h pour les accès sensibles

- Token Protection (preview Microsoft 2026) : lie le token à un device spécifique

- Continuous Access Evaluation : révocation immédiate de session si comportement anormal détecté

Ces mesures aident à détecter et limiter les dégâts. Elles ne remplacent PAS FIDO2.

En résumé

L'attaque AiTM est la principale menace sur les comptes M365 en 2026. Le MFA classique (SMS, app TOTP, push) ne protège plus. Seul le MFA phishing-resistant (FIDO2, Passkeys) résout structurellement le problème — c'est une question de design cryptographique, pas de qualité d'implémentation.

Si vous gérez une PME, votre roadmap 2026 doit inclure : (1) audit de qui peut être ciblé, (2) déploiement FIDO2 sur admins et dirigeants en priorité, (3) extension progressive à tous les utilisateurs, (4) durcissement Conditional Access. C'est un projet 3-6 mois pour une PME 20-50 personnes, et c'est devenu non-négociable.