Attaques

Phishing AITM

Le phishing AITM, pour Adversary-in-the-Middle, est une forme avancée de phishing qui peut contourner certaines protections MFA en volant un token de session déjà validé.

Schéma d'une attaque AITM
Dans une attaque AITM, la fausse page relaie la connexion vers le vrai service et intercepte le token de session.

Fonctionnement

1. Hameçonnage

La victime reçoit un lien vers une fausse page de connexion, souvent imitée d'un service courant comme Microsoft 365.

2. Saisie des identifiants

L'utilisateur renseigne son email et son mot de passe sur la page frauduleuse.

3. Proxy de l'attaquant

Le serveur malveillant relaie la connexion vers le véritable service. La victime voit une expérience crédible, mais ses échanges transitent par l'infrastructure de l'attaquant.

4. Validation MFA

Le service légitime demande le MFA. Si l'utilisateur valide, la connexion aboutit réellement.

5. Vol du token

Après authentification, le service génère un cookie ou token de session. Le proxy malveillant l'intercepte et peut l'utiliser tant qu'il reste valide.

Risques

  • usurpation d'identité
  • accès à la messagerie
  • lecture de documents
  • fraude financière
  • compromission Microsoft 365, SharePoint, OneDrive ou Teams
  • rebond vers d'autres services internes

Pourquoi le MFA peut être contourné

Le MFA protège la phase de connexion. Dans une attaque AITM, l'attaquant ne vole pas seulement le mot de passe : il récupère une session déjà authentifiée.

Microsoft ou le service ciblé peut alors considérer l'attaquant comme l'utilisateur légitime, tant que le token n'est pas révoqué ou expiré.

Indicateurs

  • URL suspecte ou domaine récemment créé
  • demande MFA inattendue
  • connexion depuis un pays ou ASN inhabituel
  • changement de règles de messagerie
  • ajout d'application OAuth inconnue
  • session active non reconnue

Défenses

  • utiliser des méthodes résistantes au phishing comme FIDO2, passkeys ou certificats
  • appliquer l'accès conditionnel
  • surveiller les connexions anormales
  • révoquer les sessions après suspicion
  • former les utilisateurs à vérifier les URL et les demandes MFA
  • limiter les privilèges des comptes exposés

Différence avec un phishing classique

Dans un phishing classique, l'attaquant cherche souvent le mot de passe. Dans un phishing AITM, il cherche aussi la session déjà authentifiée.

Conséquence :

  • changer le mot de passe peut ne pas suffire immédiatement
  • il faut révoquer les sessions actives
  • il faut vérifier les connexions récentes
  • il faut inspecter les règles et applications ajoutées

Réaction

En cas de suspicion :

  • bloquer l'URL et le domaine
  • identifier les destinataires
  • rechercher les clics
  • révoquer les sessions du compte
  • changer le mot de passe
  • vérifier MFA et méthodes de récupération
  • examiner règles de messagerie et applications OAuth
  • surveiller les connexions suivantes

À retenir

Le phishing AITM montre que le MFA ne suffit pas toujours. Les méthodes résistantes au phishing et la révocation rapide des sessions sont essentielles.

Précédent
Phishing et ingénierie sociale
Suivant
Malware et persistance