/ Cybersécurité et fiabilité / L’erreur de configuration MFA (Multi-Factor Authentication) qui laisse entrer 90% des hackers
Illustration représentant la vulnérabilité des systèmes d'authentification multi-facteurs face aux cyberattaques modernes
Publié le 15 septembre 2024

La plus grande faille du MFA n’est pas la technologie, mais les angles morts de sa configuration et la psychologie des utilisateurs.

  • Les SMS et les notifications push « simples » sont des maillons faibles activement exploités par les attaquants.
  • La protection des comptes administrateurs et la révocation des accès au départ d’un employé sont des points de défaillance critiques.

Recommandation : Auditez vos politiques d’accès conditionnel et passez à une authentification résistante au phishing (FIDO2) pour les comptes sensibles.

En tant qu’administrateur IT ou RSSI, vous avez coché la case « MFA ». Vous avez déployé la double authentification sur vos systèmes critiques et vous dormez un peu plus tranquillement. C’est une réaction normale. Les discours marketing et les rapports de conformité présentent le MFA comme le rempart ultime contre l’usurpation d’identité. Et sur le papier, ils n’ont pas tort. Le problème, c’est que les attaquants ne lisent pas les fiches produit ; ils exploitent la réalité du terrain.

La réalité, c’est que la plupart des déploiements MFA reposent sur une confiance aveugle en l’outil, en négligeant les failles humaines et procédurales qui l’entourent. On se concentre sur la présence du second facteur, sans questionner sa robustesse, le contexte de son utilisation ou la psychologie de l’utilisateur final. On installe une porte blindée, mais on laisse les fenêtres grandes ouvertes et la clé sous le paillasson. Cette vision parcellaire de la sécurité est précisément ce qui crée l’angle mort que les hackers exploitent.

Et si la véritable erreur n’était pas l’absence de MFA, mais une mauvaise configuration de celui-ci ? Si le vrai danger venait de cette fausse impression de sécurité ? Cet article va vous faire passer de l’autre côté du miroir. Nous allons déconstruire ensemble la chaîne de confiance numérique que vous pensiez solide. En adoptant le point de vue d’un attaquant, nous allons exposer les failles que vous ne voyez pas, de la vulnérabilité intrinsèque de certains facteurs à l’exploitation de la lassitude de vos employés. L’objectif n’est pas de vous alarmer, mais de vous armer. Vous découvrirez comment transformer votre MFA d’une simple case à cocher en une véritable forteresse dynamique et intelligente.

Pour comprendre comment sécuriser efficacement votre système d’information, nous allons analyser en détail les points de défaillance et les solutions concrètes. Ce guide structuré vous permettra d’identifier et de corriger les erreurs de configuration qui pourraient exposer votre organisation.

Sommaire : Comprendre et corriger les failles de votre configuration MFA

SMS vs Application Authenticator : pourquoi le SMS est le pire choix de sécurité ?

Pour de nombreuses organisations, le MFA par SMS semble être le compromis idéal : il est universel, facile à déployer et familier pour les utilisateurs. C’est précisément pour ces raisons qu’il constitue le maillon le plus faible de votre chaîne de sécurité. En tant qu’attaquant, le SMS est une aubaine. Il repose sur une infrastructure, le réseau de signalisation SS7, qui n’a jamais été conçue pour la sécurité. Cette infrastructure est connue pour ses vulnérabilités à l’interception.

La technique la plus courante est le SIM swapping. Un attaquant utilise l’ingénierie sociale pour convaincre votre opérateur téléphonique de transférer le numéro de téléphone de la victime sur une nouvelle carte SIM en sa possession. Une fois cette opération réussie, il reçoit tous les appels et SMS, y compris vos précieux codes de validation MFA. Une autre méthode, plus sophistiquée, consiste à exploiter directement les failles du protocole SS7 pour intercepter les SMS sans même avoir à subtiliser le numéro. Des analyses ont montré que l’exploitation de la faille SS7 a permis de vider plusieurs comptes bancaires en Allemagne en 2017, prouvant que cette menace n’est pas théorique.

Les applications d’authentification comme Google Authenticator ou Microsoft Authenticator, bien que non parfaites, représentent un bond en avant significatif. Elles génèrent des codes (TOTP) directement sur l’appareil, sans transiter par le réseau téléphonique vulnérable. La chaîne de confiance numérique est plus courte et mieux contrôlée. Pour un attaquant, compromettre un code TOTP nécessite un accès direct à l’appareil déverrouillé ou l’installation d’un malware sophistiqué, un effort bien plus conséquent que de tromper un service client ou d’exploiter un protocole vieillissant.

En continuant à utiliser le SMS comme facteur d’authentification, vous ne faites pas que choisir une option moins sécurisée ; vous laissez une porte d’entrée connue et documentée grande ouverte. La migration vers des applications d’authentification n’est pas une simple mise à jour, c’est la fermeture d’une vulnérabilité critique.

Pourquoi l’authentification forte est non négociable pour les comptes administrateurs ?

Si tous les comptes ne sont pas égaux en termes de risque, les comptes administrateurs sont la « couronne » de votre royaume numérique. Un seul compte administrateur compromis peut entraîner la chute de l’ensemble de votre infrastructure. Penser qu’un simple mot de passe, même complexe, suffit à protéger ces accès est une négligence professionnelle grave. Pour un attaquant, l’objectif principal est presque toujours l’escalade de privilèges pour atteindre l’un de ces comptes « Dieu ».

L’authentification forte sur ces comptes n’est donc pas une option, mais une ligne de défense fondamentale. Cependant, même le MFA peut être mal configuré. L’erreur la plus commune est d’appliquer une politique MFA générique à tous les utilisateurs, y compris les administrateurs. Un compte admin doit être soumis aux politiques les plus restrictives possibles : MFA non-phishable (comme les clés FIDO2), accès depuis des adresses IP et des appareils de confiance uniquement (PAW – Privileged Access Workstation), et sessions à durée de vie très courte.

L’hygiène des identités à privilèges est un processus continu qui va au-delà du seul MFA. Il s’agit de mettre en place un ensemble de mesures de durcissement pour réduire la surface d’attaque. Ces pratiques visent à rendre la tâche de l’attaquant exponentiellement plus difficile. Voici quelques mesures inspirées des recommandations de l’ANSSI :

  • Segmenter finement les droits dans l’Active Directory selon le principe du moindre privilège : ne donnez que les droits strictement nécessaires à la mission.
  • Désactiver les protocoles obsolètes et vulnérables comme NTLM ou SMBv1, qui sont des vecteurs d’attaque courants.
  • Restreindre les accès VPN par un MFA obligatoire combiné à un filtrage strict des adresses IP sources.
  • Implémenter un audit trail complet pour garantir la traçabilité et la surveillance de chaque action effectuée avec des privilèges élevés.

Protéger un compte admin, ce n’est pas seulement lui ajouter un second facteur. C’est construire une forteresse autour de lui, où chaque tentative d’accès est scrutée, validée et enregistrée. Tout ce qui n’est pas explicitement autorisé doit être bloqué par défaut.

MFA Fatigue : comment les hackers vous bombardent de notifications pour vous faire craquer ?

Vous avez déployé le MFA avec notifications push, la méthode la plus « moderne » et la moins contraignante pour les utilisateurs. Vous pensez avoir trouvé le parfait équilibre entre sécurité et expérience utilisateur. C’est là que nous, les attaquants, entrons en scène avec une technique d’une simplicité désarmante : la MFA Fatigue ou le bombardement de notifications.

Le scénario est simple. D’abord, nous obtenons le couple identifiant/mot de passe de votre employé via une campagne de phishing ou une fuite de données. Ensuite, nous lançons un script qui tente de se connecter en boucle au compte de la victime. À chaque tentative, votre système MFA envoie une notification push sur son smartphone : « Approuver la connexion ? ». La première fois, l’employé refuse. La dixième fois aussi. Mais que se passe-t-il à la cinquantième notification, au milieu d’une réunion importante, ou pire, au milieu de la nuit ? La lassitude s’installe. L’employé, épuisé ou agacé, finit par cliquer sur « Approuver » juste pour que le harcèlement cesse. Et voilà, nous sommes entrés.

Cette technique, que l’on peut qualifier d’ingénierie de la lassitude, est redoutablement efficace car elle ne cible pas une faille technologique, mais une faille psychologique humaine. Une étude a révélé l’ampleur du phénomène avec plus de 382 000 attaques MFA fatigue enregistrées sur une période de 12 mois, montrant qu’environ 1% des utilisateurs ciblés finissent par accepter la requête frauduleuse. Un taux de succès de 1% peut sembler faible, mais à l’échelle de milliers de tentatives, il garantit un accès.

Étude de Cas : L’attaque contre Uber en 2022

En 2022, un attaquant a utilisé cette méthode précise contre un employé d’Uber. Après avoir récupéré ses identifiants, il a déclenché une vague incessante de demandes d’authentification. L’employé, submergé, a fini par accepter une des notifications. Cette simple erreur humaine a permis à l’attaquant de pénétrer le système d’information de l’entreprise et de s’y déplacer pour accéder à d’autres ressources, démontrant l’efficacité dévastatrice de cette technique.

Pour contrer cette menace, les notifications push « simples » (Accepter/Refuser) ne suffisent plus. Il est impératif de passer à des méthodes qui exigent une action plus réfléchie de l’utilisateur, comme l’affichage d’un code à plusieurs chiffres sur l’écran de connexion que l’utilisateur doit recopier dans l’application mobile. Cette petite friction de sécurité supplémentaire force l’utilisateur à marquer une pause et à valider consciemment la légitimité de la connexion, court-circuitant l’attaque par lassitude.

YubiKey et clés FIDO2 : est-ce la solution ultime contre le phishing ?

Face à des menaces comme le SIM swapping ou la MFA Fatigue, une question se pose : existe-t-il une solution technique qui immunise l’utilisateur contre sa propre faillibilité ? La réponse se rapproche de « oui » avec les standards FIDO2 et les clés de sécurité matérielles comme les YubiKeys. Ce n’est pas une simple évolution, c’est un changement de paradigme dans l’authentification.

Contrairement aux codes ou aux notifications, une clé FIDO2 fonctionne sur un principe de cryptographie à clé publique. Lors de l’enregistrement, la clé génère une paire de clés (publique/privée) unique pour chaque service. La clé privée ne quitte jamais la clé de sécurité physique. Lors de l’authentification, le service en ligne envoie un défi que seule la clé privée peut résoudre. L’utilisateur insère sa clé, la touche (prouvant sa présence physique), et l’authentification est validée. Ce mécanisme rend l’hameçonnage (phishing) quasiment impossible.

Le véritable bouclier anti-phishing réside dans la validation du domaine, un « angle mort » pour l’attaquant. Comme l’explique la documentation de l’un des pionniers du domaine :

FIDO2 lie l’authentification au nom de domaine du site. Une clé enregistrée pour google.com refusera de fonctionner sur g00gle.com, même si l’utilisateur est totalement trompé.

– Yubico, Documentation technique FIDO2

L’utilisateur peut se tromper, mais la clé, elle, ne se trompe pas. Elle vérifie l’origine de la requête d’authentification et refusera de signer un défi provenant d’un site malveillant. Cela élimine la nécessité pour l’utilisateur de vérifier l’URL, une tâche où l’erreur humaine est fréquente. Le déploiement de ces clés en entreprise nécessite cependant une planification rigoureuse.

Votre plan d’action : Audit du cycle de vie des clés FIDO2

  1. Points de contact : Définir le processus de commande (centralisé vs libre-service) et de livraison sécurisée aux employés (domicile ou bureau).
  2. Collecte : Inventorier les étapes d’enrôlement initial, incluant la création d’un code PIN FIDO2 robuste et la procédure en cas d’échec (ex: 8 tentatives max).
  3. Cohérence : Établir un protocole clair de gestion des clés perdues ou volées via un portail centralisé, confrontant le statut de la clé aux politiques de sécurité.
  4. Mémorabilité/émotion : Communiquer sur le fait que la clé est personnelle (PIN unique) mais gérée par l’entreprise (révocation), pour un équilibre entre appropriation et contrôle.
  5. Plan d’intégration : Formaliser la procédure de révocation lors du départ d’un employé, en assurant la suppression des informations d’identification FIDO2 du fournisseur d’identité (IdP).

Si FIDO2 n’est pas « ultime » (la perte physique de la clé reste un problème opérationnel), il représente aujourd’hui le standard le plus élevé de sécurité MFA, car il est le seul à retirer quasi entièrement l’utilisateur de l’équation de la décision de confiance.

SSO et MFA : comment simplifier la vie des utilisateurs sans baisser la garde ?

Le Single Sign-On (SSO) est souvent perçu comme un simple outil de confort : un seul mot de passe pour accéder à des dizaines d’applications. Du point de vue de la sécurité, c’est une arme à double tranchant. D’un côté, il centralise l’authentification, offrant un point de contrôle unique pour appliquer des politiques de sécurité robustes. De l’autre, s’il est compromis, il devient une clé maîtresse qui ouvre toutes les portes à un attaquant.

L’erreur fatale est de déployer le SSO sans le coupler à un MFA intelligent. La solution n’est pas d’imposer un second facteur à chaque connexion, ce qui anéantirait les bénéfices du SSO et créerait une énorme friction de sécurité pour les utilisateurs. La bonne approche est d’utiliser l’accès conditionnel. C’est ici que votre MFA passe d’un simple verrou à un système de contrôle d’accès intelligent. L’accès conditionnel vous permet de moduler les exigences d’authentification en fonction du contexte.

L’idée est d’établir une « note de confiance » pour chaque tentative de connexion. Cette note est basée sur plusieurs signaux :

  • L’utilisateur : Fait-il partie d’un groupe à risque (administrateur, finance) ?
  • L’appareil : Est-ce un PC d’entreprise, géré et à jour, ou un smartphone personnel inconnu ?
  • La localisation : La connexion provient-elle du réseau sécurisé de l’entreprise ou d’un café en Wi-Fi public à l’étranger ?
  • L’application : L’utilisateur tente-t-il d’accéder à une application banale ou à la base de données clients ?

En fonction de ce score de confiance, vous pouvez définir des politiques dynamiques. Par exemple : aucune demande de MFA pour un commercial se connectant à son CRM depuis son PC de bureau, mais une demande systématique de MFA via une clé FIDO2 pour un administrateur tentant d’accéder à la console d’administration depuis un réseau inconnu. Des solutions IAM comme Azure AD, Okta ou Google Workspace sont des outils puissants pour mettre en œuvre et surveiller ces politiques à grande échelle.

Le SSO et le MFA ne sont pas des ennemis. Correctement intégrés via l’accès conditionnel, ils forment un duo puissant qui renforce la sécurité tout en fluidifiant l’expérience des utilisateurs légitimes. Vous rendez la vie plus simple à vos employés et infiniment plus complexe pour les attaquants.

Employé sur le départ : comment révoquer ses identités numériques instantanément ?

Le processus de départ d’un employé est l’un des moments les plus critiques pour la sécurité d’une entreprise. C’est un angle mort souvent négligé. Une fois qu’un employé a quitté l’entreprise, chaque minute où ses accès restent actifs est une porte d’entrée béante, que ce soit par malveillance de sa part ou par simple négligence qui pourrait être exploitée par un tiers. Avec la multiplication des applications SaaS, la révocation manuelle des accès est un cauchemar logistique et une source d’erreurs quasi certaine.

Même si l’authentification multifacteur est largement adoptée, utilisée par 73% des entreprises françaises, elle ne sert à rien si le compte sous-jacent n’est pas désactivé. Le problème n’est pas seulement de désactiver le compte principal dans l’Active Directory, mais de propager cette révocation à l’ensemble de l’écosystème applicatif auquel l’employé avait accès.

La solution réside dans l’automatisation du « dé-provisioning ». L’hygiène des identités doit être parfaite à ce stade. Voici les protocoles techniques à mettre en place pour une révocation quasi instantanée :

  • Implémenter le protocole SCIM (System for Cross-domain Identity Management). Ce standard permet à votre système RH ou à votre annuaire central (IdP) de communiquer automatiquement avec les applications cloud (Salesforce, Slack, etc.) pour créer, mettre à jour et surtout supprimer les comptes utilisateurs.
  • Activer le Continuous Access Evaluation (CAE). C’est une technologie émergente (promue par Microsoft et d’autres) qui permet de « tuer » les sessions actives d’un utilisateur en quasi-temps réel. Sans CAE, un utilisateur dont le compte a été désactivé pourrait continuer à utiliser une application jusqu’à l’expiration de son jeton de session (parfois plusieurs heures).
  • Inverser le timing dans les cas à risque. Pour les départs sensibles, le processus de révocation doit être déclenché AVANT l’annonce officielle du départ à l’employé pour prévenir toute tentative d’exfiltration de données de dernière minute.

La gestion du départ ne doit pas être un processus manuel dépendant d’une checklist papier. Elle doit être un événement automatisé, déclenché par le système RH, qui garantit que l’ensemble des identités numériques d’un ex-employé sont révoquées en quelques minutes, et non en quelques jours.

Copier-coller : peut-on empêcher la copie de données d’une appli pro vers une appli perso sur mobile ?

Avec l’explosion du BYOD (Bring Your Own Device), la frontière entre le professionnel et le personnel est devenue floue, en particulier sur les smartphones. Un employé consulte ses emails professionnels, puis bascule sur sa messagerie personnelle. Le risque ? Un simple copier-coller. Un commercial copie une liste de contacts depuis le CRM de l’entreprise pour l’envoyer via son WhatsApp personnel, créant ainsi une fuite de données potentiellement massive. Contrôler cette hémorragie est un défi majeur.

Le simple fait d’installer un agent MFA sur le téléphone ne résout pas ce problème. La solution se trouve dans la « conteneurisation » des données d’entreprise. Il s’agit de créer une bulle sécurisée et chiffrée sur l’appareil de l’utilisateur, à l’intérieur de laquelle vivent les applications et les données professionnelles. Cette bulle est isolée de l’environnement personnel de l’utilisateur.

Pour y voir plus clair, il est essentiel de comprendre les deux approches principales de la gestion des appareils mobiles : le MDM et le MAM. Le tableau suivant, basé sur les meilleures pratiques du secteur, résume leurs différences fondamentales.

Comparaison MDM vs MAM pour la sécurité mobile
Critère MDM (Mobile Device Management) MAM (Mobile Application Management)
Périmètre de contrôle Contrôle total de l’appareil mobile Contrôle uniquement des applications et données d’entreprise
Adapté pour Appareils fournis par l’entreprise BYOD (Bring Your Own Device)
Granularité des politiques Politiques globales au niveau de l’appareil Politiques spécifiques par application (ex: autoriser copier-coller entre Outlook et Teams, bloquer vers WhatsApp)
Effacement à distance Efface l’intégralité de l’appareil Efface uniquement les données d’entreprise, préserve les photos personnelles
Acceptation utilisateur Faible (intrusive) Élevée (respecte la vie privée)
Contrôles disponibles Chiffrement, verrouillage, localisation Blocage copier-coller, captures d’écran, chiffrement sélectif

Dans un contexte BYOD, le MAM (Mobile Application Management) est clairement la meilleure approche. Il permet d’appliquer des politiques de sécurité granulaires, comme « autoriser le copier-coller entre Outlook et Teams » mais « bloquer le copier-coller de Outlook vers WhatsApp ». Cela permet de protéger les données de l’entreprise sans être intrusif pour la vie privée de l’employé, ce qui est la clé de l’adoption. Vous ne gérez pas l’appareil de l’employé, vous gérez vos données sur son appareil.

À retenir

  • La plus grande vulnérabilité du MFA ne vient pas de la technologie, mais des failles humaines et procédurales qui l’entourent (MFA Fatigue, mauvais offboarding).
  • Tous les facteurs MFA ne sont pas égaux : le SMS est intrinsèquement vulnérable (SIM Swapping, SS7), tandis que FIDO2 offre une résistance quasi-totale au phishing.
  • La sécurité ne doit pas être une friction constante ; l’accès conditionnel permet de moduler les exigences du MFA en fonction du contexte (utilisateur, appareil, localisation) pour un équilibre optimal.

Déployer le MFA sans révolte : comment faire accepter la double authentification à 500 employés ?

La meilleure technologie de sécurité du monde est inutile si les employés la contournent ou la rejettent. Le déploiement du MFA n’est pas seulement un projet technique, c’est avant tout un projet de conduite du changement. L’erreur la plus fréquente est d’imposer le MFA comme une contrainte purement technique, sans expliquer le « pourquoi » et sans accompagner les utilisateurs. Cette approche garantit la résistance, la frustration et une augmentation de la charge de travail pour votre support technique.

Le contexte est pourtant clair : une étude récente a montré une hausse de 40% des cyberattaques exploitant les faiblesses du MFA, avec l’erreur humaine impliquée dans 68% des violations réussies. La sensibilisation n’est plus une option. La clé du succès réside dans une communication transparente et un déploiement progressif. Plutôt qu’un « big bang » anxiogène, optez pour un déploiement par vagues :

  • Vague 1 – Pilote interne : Commencez par votre propre équipe IT et sécurité. C’est l’occasion de tester le processus, d’identifier les points de friction et de créer la documentation de support en conditions réelles.
  • Vague 2 – Populations à haut risque : Étendez le déploiement à la Direction, aux administrateurs, à la finance et aux RH. Cela protège vos actifs les plus précieux en priorité et crée des « champions » du projet au sein de l’entreprise.
  • Vague 3 – Déploiement généralisé : Fort des retours d’expérience des premières vagues, affinez votre communication et préparez le support pour un déploiement à l’ensemble des employés. Préparez une FAQ visuelle, des tutoriels vidéo courts et un processus clair pour le cas le plus anxiogène : la perte ou le vol du smartphone.

La communication doit être axée sur le bénéfice pour l’employé, en utilisant l’approche « What’s In It For Me? » (WIIFM). Il ne s’agit pas de protéger « l’entreprise », mais de protéger « son » espace de travail.

Le MFA protège l’accès à VOTRE espace de travail, à VOS primes, et empêche qu’un hacker usurpe VOTRE identité pour nuire à vos collègues.

– Approche WIIFM (What’s In It For Me), Meilleures pratiques de déploiement MFA

En transformant une contrainte de sécurité en un avantage personnel et collectif, vous passez d’une posture d’opposition à une posture de collaboration. L’objectif n’est pas que les employés « subissent » le MFA, mais qu’ils le comprennent et l’adoptent comme une nouvelle norme d’hygiène numérique.

En définitive, la robustesse de votre MFA ne se mesure pas à sa seule présence, mais à l’intelligence de sa configuration et à l’adhésion de vos équipes. Pour aller plus loin et auditer concrètement votre posture de sécurité, l’étape suivante consiste à évaluer vos politiques actuelles à la lumière des failles que nous avons exposées.

Rédigé par Sarah Benali, Sarah Benali est une experte en cybersécurité certifiée CISSP et CISM, cumulant 15 années de pratique en défense des systèmes d'information. Elle intervient sur la sécurisation des flux réseaux et la gestion des identités numériques (PKI). Elle audite régulièrement la conformité SSL/TLS et les plans de reprise d'activité.
Fraîchement publiés
Pourquoi 30% de vos abonnements SaaS sont probablement des dépenses fantômes inutiles ?
Comment définir un contrôle d’accès RBAC (Role-Based Access Control) efficace pour une équipe de 100 personnes ?
Comment la navigation chiffrée influence le taux de conversion de votre site vitrine ?
Pourquoi migrer vers le protocole TLS 1.3 avant la fin de l’année est critique ?
Chiffrement de bout en bout : la seule protection réelle pour vos secrets industriels ?
Articles similaires
Pourquoi l’intégrité des flux web protège votre réputation contre l’injection de données ?
Pourquoi un SLA de 99,9% est une question de survie pour votre e-commerce