L’authentification multifacteur (MFA) s’est imposée en entreprise comme un réflexe : si un mot de passe fuit, elle doit empêcher l’intrus d’entrer. Pourtant, les attaquants visent désormais cette étape. La MFA reste un pilier, à condition de connaître ce qu’elle bloque vraiment… et les scénarios où elle peut être contournée.
Il est important de distinguer le 2FA du MFA (Multi-Factor Authentication) : le 2FA fait appel à deux facteurs, tandis que le MFA peut combiner plusieurs vérifications supplémentaires (par exemple, la reconnaissance faciale ou l’empreinte digitale).
L’identité, nouveau périmètre : pourquoi la MFA est devenue incontournable
Selon Microsoft, l’activation de la double authentification empêche plus de 99 % des attaques par vol d’identifiants ; même compromis, un mot de passe seul ne permet plus l’accès au système.
Avec le cloud, les outils SaaS, la mobilité et le télétravail, la protection ne se joue plus seulement « derrière le réseau ». Beaucoup de services sont accessibles depuis Internet : la page de connexion devient la barrière principale. Dans ce modèle, l’usurpation d’identité offre un accès légitime et discret, souvent plus simple qu’une exploitation technique.
La MFA intervient précisément là : elle exige plusieurs preuves indépendantes pour valider l’accès. On combine en général des facteurs de trois familles : ce que l’on sait (mot de passe, PIN), ce que l’on possède (téléphone, token, clé) et ce que l’on est (biométrie). L’objectif est simple : rendre un identifiant volé inutilisable seul.
Ce que la MFA bloque… et ce qu’elle ne bloque pas
Bien configurée, la MFA casse la chaîne la plus courante : identifiants récupérés via phishing puis réutilisés sur une messagerie, un portail cloud, un VPN ou une application métier. Même si le mot de passe est correct, l’attaquant se heurte à un second facteur qu’il ne maîtrise pas. Bonus opérationnel : la tentative peut générer une alerte, révélant une compromission en cours.
Mais la MFA n’est pas un bouclier universel. Elle agit au moment de l’authentification : elle ne stoppe pas un malware déjà présent, une élévation de privilèges locale, ni des actions menées depuis une session déjà ouverte. Une fois l’accès accordé, elle n’observe pas les comportements : d’autres mécanismes doivent détecter, corréler et permettre de réagir. À retenir côté équipes : une MFA refusée n’est pas « rien », c’est souvent un signal faible à traiter.
Les contournements modernes : sessions, phishing en temps réel et fatigue MFA
La première faille vient du principe « pas de nouvelle connexion, pas de MFA ». Des sessions qui durent trop longtemps (jetons, cookies, connexions applicatives) peuvent être abusées sans redemande de second facteur. D’où l’importance de limiter la durée des sessions et d’imposer une réauthentification sur certaines actions sensibles.
Deuxième technique : le phishing en temps réel de type adversary-in-the-middle. L’utilisateur saisit identifiants et code MFA sur un faux portail ; l’attaquant relaie immédiatement vers le vrai service et récupère un jeton déjà validé. Résultat : la MFA a été utilisée… mais contre vous.
Troisième risque, très humain : la fatigue MFA. En envoyant une rafale de demandes de validation, l’attaquant mise sur l’erreur ou la lassitude. Les simples notifications « Accepter/Refuser » deviennent alors un point de faiblesse si elles ne sont pas durcies.
Déployer la MFA sans bloquer les équipes : budget, rythme et règles de durcissement
Dans une PME, l’impact est souvent immédiat : moins de comptes compromis, moins de réinitialisations en urgence, moins d’incidents qui consomment un temps IT rare. Pour y parvenir sans « effet panique », déployez par vagues : d’abord la configuration, ensuite l’activation par groupes, puis une phase de stabilisation avec retours terrain.
Un déroulé réaliste ressemble souvent à ceci : 2 à 3 jours de configuration technique, 1 à 2 semaines de déploiement progressif, puis 2 à 4 semaines d’accompagnement et d’ajustements. Côté coûts, soit la MFA est déjà incluse dans vos licences (et l’investissement est surtout humain), soit vous passez sur une solution dédiée, fréquemment facturée autour de 3 à 8 € par utilisateur et par mois selon les options. Pour les comptes à privilèges et postes sensibles, des clés matérielles (20 à 50 € l’unité) sont souvent réservées à une minorité de profils, typiquement 10 à 20 % des effectifs.
Enfin, le succès dépend de l’accompagnement : communication claire, guides simples, support renforcé au démarrage et procédures de secours (perte de téléphone, changement d’appareil). Et surtout, appliquez quelques règles qui font vraiment la différence :
- Remplacer les notifications simples par un mécanisme de vérification (code à saisir, numéro à confirmer).
- Limiter la durée des sessions et exiger une réauthentification pour les actions sensibles.
- Durcir davantage les comptes à privilèges et les accès distants.
- Surveiller les signaux : rafales de demandes MFA, connexions inhabituelles, changements d’appareil.
- Verrouiller la récupération de compte pour qu’elle ne devienne pas la porte arrière.
Sur le même sujet : MFA : sécuriser l’identité pour casser la chaîne d’attaque.
Continuer avec Linkedin