MFA fatigue attack : comment les pirates contournent votre double authentification en 2026. Mécanismes, cas réels, parades concrètes pour PME (FIDO2, number matching, MDR).
9 931 comptes compromis dans plus de 130 organisations en un seul mode opératoire combinant vishing, SIM swapping et MFA fatigue : c'est le bilan récent d'une campagne documentée par les chercheurs en sécurité au printemps 2026. La double authentification, longtemps présentée comme le rempart ultime contre le vol de compte, est devenue la cible numéro un des attaquants. La technique s'appelle MFA fatigue attack (ou push bombing), et elle ne casse pas votre 2FA : elle exploite la fatigue de vos collaborateurs. Pire, elle ne nécessite aucune compétence technique avancée. Décryptage d'une menace qui s'impose comme la première cause d'intrusion sur les environnements Microsoft 365 et Google Workspace en 2026, et plan d'action concret pour la neutraliser dans votre PME.
Le principe est aussi simple qu'efficace. L'attaquant possède déjà votre identifiant et votre mot de passe (achetés sur le dark web, récupérés via un infostealer ou obtenus par phishing). Il déclenche alors une tentative de connexion à votre compte d'entreprise. Votre application d'authentification (Microsoft Authenticator, Duo, Okta Verify) vous envoie une notification push pour valider. Vous refusez. L'attaquant relance. Vous refusez encore. Et il recommence, parfois 50, 100, 200 fois, à 3 heures du matin, en plein week-end, ou pendant une réunion importante.
À un moment, vous craquez : par lassitude, par erreur, en pensant qu'il s'agit d'un bug de l'application, ou simplement pour faire cesser le bruit, vous appuyez sur Approuver. L'attaquant est dans la place. Aucun mot de passe forcé, aucun chiffrement cassé, aucun zero-day exploité. Juste de l'ingénierie sociale appliquée à un facteur humain : la fatigue cognitive.
Le succès de l'attaque repose sur trois biais psychologiques bien identifiés :
Les attaquants modernisent leur arsenal : appel téléphonique d'un faux service IT (« Bonjour, c'est le support, validez le prompt pour qu'on puisse corriger votre boîte »), SMS prétextant une mise à jour de sécurité, ou simple persévérance nocturne. L'attaque dure rarement plus de 24 heures avant de réussir.
La grande majorité des PME françaises utilise encore une MFA dite « basique » : SMS OTP, code TOTP à 6 chiffres ou notification push simple. Or, selon les recommandations actualisées de la CNIL publiées en mars 2025, et confirmées par l'ANSSI dans son panorama de la menace 2026, ces méthodes ne sont plus considérées comme suffisantes pour les comptes à privilèges ou les accès distants.
Le SMS OTP est vulnérable au SIM swapping (transfert frauduleux de votre ligne). Le code TOTP peut être phishé en temps réel via des kits du type Evilginx ou Tycoon 2FA, qui proxifient la connexion légitime. Et le push notification simple, sans number matching, est la cible parfaite de la MFA fatigue attack.
L'incident Marks & Spencer d'avril 2025, attribué au groupe Scattered Spider et exploitant le ransomware DragonForce, a démontré que même une grande enseigne britannique avec un budget cyber significatif pouvait tomber via une combinaison d'ingénierie sociale du helpdesk et de MFA fatigue. Cet incident a coûté plusieurs centaines de millions de livres en pertes opérationnelles. Pour une PME française, l'addition serait fatale. Si vous voulez approfondir la réponse en cas de compromission, consultez notre guide cyberattaque PME : que faire dans les 24 premières heures.
| Méthode MFA | Résistance au push bombing | Résistance au phishing | Recommandation 2026 |
|---|---|---|---|
| SMS OTP | Élevée (pas de push) | Faible (SIM swap, phishing temps réel) | À bannir pour les comptes sensibles |
| TOTP (Google Auth, Authy) | Élevée | Faible (kits Evilginx) | Acceptable pour usages standards |
| Push notification simple | Très faible | Moyenne | À désactiver ou renforcer |
| Push + number matching | Forte | Moyenne | Minimum obligatoire (Microsoft) |
| Clé physique FIDO2 (YubiKey) | Totale | Totale (origin-bound) | Standard or pour admins et VIP |
| Passkey (Windows Hello, Touch ID) | Totale | Totale | Déploiement utilisateurs final |
Microsoft a rendu le number matching obligatoire par défaut dans Microsoft Authenticator depuis mai 2023. Si votre tenant Microsoft 365 n'a pas encore activé cette option, vous êtes directement exposé. La vérification : Centre d'administration Entra ID, méthodes d'authentification, Microsoft Authenticator, configurer le number matching sur Enabled for all users. Notre équipe d'expertise Microsoft 365 peut auditer votre configuration en quelques heures.
Au lieu d'un simple bouton Approuver, l'utilisateur doit saisir un code à deux chiffres affiché sur l'écran qui tente de se connecter. L'attaquant qui spamme à distance ne voit pas ce code. C'est la mesure la plus rapide, la moins coûteuse, et la plus efficace. Temps de déploiement : 30 minutes pour un tenant Microsoft 365 standard.
Les clés FIDO2 utilisent un mécanisme de cryptographie liée à l'origine du domaine. Une clé créée pour login.microsoftonline.com refuse de signer une demande venant d'un site malveillant. Microsoft Entra ID supporte les passkeys depuis Windows Hello en preview publique depuis mars 2026, étendant cette protection aux postes non gérés. Selon les directives conjointes CISA et NSA publiées en 2023 et toujours d'actualité, les organisations qui adoptent une MFA résistante au phishing observent un taux de compromission proche de zéro.
Limitez le nombre de notifications push envoyées par minute et par utilisateur. Au-delà de 3 prompts refusés en 5 minutes, le compte doit être verrouillé temporairement et une alerte SOC déclenchée. Cette politique se configure dans les accès conditionnels Entra ID ou via votre IDP (Okta, JumpCloud, Ping).
Une connexion depuis une géolocalisation inhabituelle, un appareil non enrôlé Intune ou un horaire atypique doit déclencher une authentification renforcée (step-up). Les accès conditionnels permettent de bloquer automatiquement les connexions hors France ou hors plage horaire métier. C'est une couche complémentaire intégrée à toute démarche d'audit de sécurité infrastructure.
La règle est simple : « Si vous n'avez pas initié la connexion, n'approuvez jamais, signalez immédiatement ». Une session de sensibilisation de 20 minutes, accompagnée d'un test de phishing simulé chaque trimestre, réduit le taux de compromission de plus de 70 % selon les retours d'expérience consolidés par Proofpoint et Microsoft. Intégrez ce réflexe dans votre démarche de conformité NIS2, qui impose désormais une formation cyber documentée.
Un EDR ou un service MDR (Managed Detection and Response) corrèle les événements Azure AD Sign-in logs, les refus successifs de MFA et les changements de méthode d'authentification. Sans ce monitoring, une MFA fatigue attack en cours est invisible pour la victime comme pour la DSI jusqu'à validation. Notre offre d'expertise cybersécurité intègre cette détection 24/7.
En février 2026, un de nos clients industriels a subi une tentative de MFA fatigue attack sur le compte de son directeur financier. L'attaquant disposait du mot de passe (probablement issu d'une fuite LinkedIn de 2024). Pendant trois nuits consécutives, entre 2 h et 4 h du matin, des notifications push sont envoyées sur le téléphone professionnel du dirigeant. Le troisième soir, fatigué, il valide.
Heureusement, le tenant Microsoft 365 était sous surveillance MDR. En 8 minutes, l'équipe SOC a détecté la connexion anormale (IP roumaine, agent utilisateur Linux atypique), révoqué la session, déclenché la rotation du mot de passe et forcé l'enrôlement d'une clé FIDO2. L'attaquant n'a eu accès à la boîte mail que 11 minutes, juste le temps de tenter (sans succès) une règle de transfert vers une adresse externe. Les pertes : zéro euro. Sans MDR, le scénario probable était une fraude au président à six chiffres dans les 48 heures.
La directive NIS2, transposée en droit français en 2024, impose aux entités essentielles et importantes (dont de nombreuses PME industrielles, agroalimentaires, fournisseurs de services numériques) la mise en place d'une authentification multifacteur robuste. La CNIL, dans sa recommandation de mars 2025, précise que les méthodes MFA doivent être proportionnées au risque et résistantes aux attaques d'ingénierie sociale connues, ce qui exclut explicitement le push notification simple pour les comptes administrateurs.
Côté RGPD, en cas de fuite de données suite à une MFA fatigue attack, la CNIL peut considérer l'absence de FIDO2 ou de number matching sur les comptes à privilèges comme une défaillance des mesures techniques et organisationnelles appropriées (article 32). Les amendes récentes pour défaut de MFA renforcée sur des comptes administratifs atteignent plusieurs centaines de milliers d'euros pour des structures de taille moyenne.
Beaucoup de dirigeants imaginent que passer au FIDO2 ou au MDR est hors budget pour une PME. La réalité est très différente :
Le ROI est immédiat : le coût moyen d'une compromission de compte Microsoft 365 pour une PME française est estimé à 43 000 € HT (rançon, indisponibilité, communication, frais juridiques) selon les données croisées de Cybermalveillance.gouv.fr et des assureurs cyber 2025. Investir 5 000 € pour bloquer 95 % des scénarios est, statistiquement, l'un des meilleurs ratios sécurité de votre infrastructure.
Avant d'acheter quoi que ce soit, posez ces six questions à votre DSI ou à votre prestataire d'infogérance informatique :
Si la réponse est non ou je ne sais pas à plus de deux questions, vous êtes statistiquement plus exposé que la moyenne des PME françaises. Un audit gratuit Infranat répond à ces six points en une demi-journée et chiffre les actions correctives.
C'est une technique d'ingénierie sociale où l'attaquant, déjà en possession d'un mot de passe valide, envoie des dizaines de notifications push MFA jusqu'à ce que la victime, lassée ou trompée, valide une demande de connexion frauduleuse.
Le SMS résiste au push bombing puisqu'il n'utilise pas de notification, mais il reste vulnérable au SIM swapping et au phishing en temps réel. La CNIL et l'ANSSI le déconseillent pour les comptes sensibles depuis 2025.
Dans le portail Entra ID, rubrique Méthodes d'authentification, sélectionnez Microsoft Authenticator, puis activez Show application name et Show geographic location. La fonction est imposée par défaut depuis mai 2023, mais doit être vérifiée tenant par tenant.
Non, vous pouvez prioriser : clés FIDO2 obligatoires pour les administrateurs, dirigeants et accès financiers. Pour les autres collaborateurs, les passkeys Windows Hello suffisent et ne coûtent rien à déployer sur un parc Windows 11.
Pour une PME de 20 à 100 postes sous Microsoft 365, le déploiement complet (number matching, accès conditionnels, clés FIDO2 pour admins, formation) prend entre 5 et 10 jours ouvrés avec un prestataire spécialisé.
Oui en théorie, mais la plupart des polices 2026 exigent désormais une MFA résistante au phishing sur les comptes administrateurs. Sans cette mesure, l'assureur peut invoquer une faute lourde et refuser l'indemnisation.
Refusez tous les prompts, ne répondez à aucun appel se prétendant du support IT, changez immédiatement votre mot de passe depuis un appareil sûr, révoquez vos sessions actives dans Entra ID et signalez l'incident à votre RSSI ou à votre prestataire d'infogérance.
Mots-clés
Audit informatique gratuit, réponse sous 2h ouvrées.
Demander un audit gratuit