Le 12 mai 2026, les chercheurs en sécurité du groupe Mandiant ont publié un rapport qui a fait l’effet d’un électrochoc dans les cercles d’initiés : une campagne d’attaque baptisée “Mamba-26” a réussi à compromettre plus de 14 000 comptes d’entreprise pourtant protégés par le MFA, le tout en moins de 72 heures. Plus inquiétant encore : les pirates n’ont pas cherché à deviner les codes, ils ont contourné l’infrastructure même de Microsoft Entra ID et de Google Workspace
La question n’est plus de savoir si le MFA est toujours sécurisé. La réponse est non. Et voici exactement comment les cybercriminels l’ont exécuté ce mois-ci sous nos yeux.
La bascule de mai 2026 : L’industrialisation des attaques AiTM
Pour comprendre le fiasco, il faut regarder la réalité technique du terrain en 2026. Les pirates ont abandonné les attaques par “force brute” ou le vol de codes par SMS (devenus trop surveillés par les algorithmes de détection). Ce mois-ci, 92 % des compromissions de comptes MFA ont utilisé une technique redoutable : le AiTM (Adversary-in-the-Middle).
Ici, l’attaquant ne cherche pas à casser le code à 6 chiffres généré par votre application Microsoft Authenticator. Il s’en fiche royalement. La mécanique est d’une simplicité désarmante :
- L’attaquant déploie un serveur intermédiaire (un proxy) via des kits de piratage comme EvilGinx 3.5, achetés pour une poignée de dollars sur Telegram.
- L’utilisateur clique sur un lien de phishing ultra-réaliste et arrive sur la fausse page de connexion.
- L’utilisateur tape son identifiant, son mot de passe, et valide sa notification MFA ou son code à 6 chiffres.
- Le serveur du pirate relaie ces informations en temps réel au vrai serveur de Microsoft ou de Google.
Le serveur légitime valide la connexion et renvoie ce qu’on appelle un jeton de session (session token). C’est le précieux sésame, le cookie magique qui dit à votre navigateur : “C’est bon, cet utilisateur a prouvé son identité, ne lui demande plus rien pendant 30 jours”.
Le pirate intercepte ce jeton au vol, l’injecte dans son propre navigateur, et se retrouve instantanément connecté au cœur de votre réseau. Le MFA a parfaitement fonctionné, il a dit “Oui”, mais c’est le pirate qui est entré.
Le chiffre noir : 62 % de réussite
Les statistiques internes d’Entra ID (anciennement Azure AD) pour ce premier trimestre 2026 sont terrifiantes : 62 % des accès initiaux réussis par les gangs de rançongiciels ont été effectués sur des comptes où le MFA était pourtant activé.
Le MFA classique (par SMS, par e-mail ou par application push) est devenu un simple ralentisseur pour les scripts automatisés. Il protège contre le piratage de masse des robots bas de gamme, mais il est totalement inutile face à un groupe structuré. Le concept même de “secret partagé” — l’idée qu’un code temporaire voyage sur le réseau entre votre téléphone et un serveur — est structurellement faussé face à la puissance des outils de proxying actuels.
🏴☠️ La Posture de Pavillon Noir : Vers le Phishing-Resistant MFA
Notre avis est tranché, et il doit devenir le mantra de tous les techniciens et administrateurs réseaux : le MFA traditionnel par notification push ou code TOTP est une technologie obsolète. Continuer à la vendre comme une sécurité absolue est une faute professionnelle.
En 2026, la seule et unique barrière que les kits AiTM comme Mamba-26 ne peuvent pas franchir s’appelle le MFA résistant au phishing (Phishing-Resistant MFA).
Cela impose l’abandon immédiat des applications mobiles au profit des clés de sécurité matérielles (norme FIDO2, type YubiKey) ou des Passkeys cryptographiques adossées aux puces TPM des ordinateurs d’entreprise.
Pourquoi ? Parce que ces technologies lient mathématiquement l’authentification au nom de domaine de la page. Si vous êtes piégé sur
login.micros0ft.com(le site du pirate) au lieu delogin.microsoft.com, la clé matérielle détecte la fraude microscopique au niveau du certificat SSL et refuse catégoriquement de délivrer le jeton de session. Le pirate se retrouve face à une porte close.
