MFA Bypass

Le MFA bypass regroupe les techniques permettant de contourner l'authentification à plusieurs facteurs. Malgré sa réputation, le MFA n'est pas infaillible — surtout selon le facteur utilisé (SMS et push sont les plus faibles ; les passkeys/FIDO2 sont les plus robustes).

Les principales techniques : (1) MFA fatigue / push bombing : l'attaquant en possession du mot de passe envoie des dizaines de notifications push à la victime jusqu'à ce qu'elle approuve par lassitude ou erreur (Uber breach 2022) ; (2) SIM swapping : prise de contrôle du numéro de téléphone via ingénierie sociale de l'opérateur, interceptant les SMS OTP ; (3) AiTM (Adversary-in-the-Middle) : proxy de phishing comme Evilginx2/Modlishka qui relaye la session en temps réel, capturant cookies de session post-MFA — bypass tous les MFA non phishing-resistant ; (4) social engineering du helpdesk pour reset MFA (MGM 2023) ; (5) compromission OAuth refresh token ; (6) bypass via méthodes de récupération faibles (questions secrètes, email backup).

Mitigations : (1) imposer du MFA phishing-resistant — passkeys FIDO2/WebAuthn — pour les comptes sensibles ; (2) number matching et géolocalisation sur les push notifications ; (3) bloquer les méthodes faibles (SMS) pour les rôles privilégiés ; (4) Conditional Access avec scoring de risque (Microsoft Entra, Okta) ; (5) sensibilisation utilisateur ; (6) durcir les processus helpdesk (re-auth in person, callback sur numéro vérifié). CISA recommande FIDO2 comme MFA gold standard.