Skip to content

Activer la MFA rend-il un compte impossible à hameçonner ?

Réponse courte

Non. La MFA élève fortement la barre, mais les facteurs OTP et push sont hameçonnables : les kits d'adversaire au milieu (ex. Evilginx) relaient la connexion et le code en temps réel, et la fatigue MFA / le push-bombing poussent l'utilisateur à approuver. Les codes capturés sont réutilisables dans leur courte fenêtre. L'erreur est « MFA = inhameçonnable » ; c'est le type de facteur qui compte. La MFA résistante au phishing — les passkeys FIDO2/WebAuthn liés à l'origine du site — est ce qui déjoue réellement cela.

La MFA est l'un des contrôles de sécurité à plus forte valeur que l'on puisse déployer — mais « MFA = inhameçonnable » est une exagération dangereuse, démentie par de grandes brèches réelles. Cette question teste si un candidat sait que toutes les MFA ne se valent pas.

Pourquoi la réponse populaire est fausse

La plupart des MFA en usage sont de l'OTP (un code à 6 chiffres par SMS ou appli d'authentification) ou du push (approuver sur son téléphone). Les deux partagent une propriété fatale : on peut tromper l'utilisateur pour qu'il livre la preuve à un attaquant. Un kit d'hameçonnage adversaire au milieu (AiTM) comme Evilginx héberge un proxy inverse sur un domaine sosie. La victime « se connecte » à travers lui ; le kit relaie en temps réel le nom d'utilisateur, le mot de passe et l'OTP fraîchement saisi vers le vrai site, complétant la connexion et volant le cookie de session résultant. La rotation de 30 secondes n'aide pas — l'attaquant utilise le code dans cette même fenêtre. La fatigue MFA / push-bombing est encore plus simple : noyer l'utilisateur sous des invites d'approbation jusqu'à ce que, agacé ou perdu, il appuie sur Approuver. Le SMS ajoute le risque de SIM-swap et d'interception, c'est donc l'un des facteurs les plus faibles, pas un anti-phishing.

Ce qui résiste réellement au phishing

La défense est la MFA résistante au phishing : clés de sécurité et passkeys FIDO2 / WebAuthn. Elles utilisent la cryptographie à clé publique où la clé privée ne quitte jamais l'appareil, et le navigateur lie cryptographiquement l'assertion à l'origine du site qui la demande. Si l'utilisateur est sur un domaine d'hameçonnage, la signature ne sera tout simplement pas valide pour le vrai site — aucun secret ni code partagé à relayer, donc le proxy AiTM n'a rien à transmettre. Les certificats carte à puce / PIV offrent la même propriété liée à l'origine.

À retenir

Voyez la MFA comme un spectre : SMS < OTP d'appli < push avec correspondance de numéro < FIDO2/WebAuthn. Activer n'importe quelle MFA bloque le bourrage d'identifiants et la réutilisation basique de mots de passe, d'où son importance. Mais pour prétendre qu'un compte est inhameçonnable, il faut des facteurs liés à l'origine, résistants au phishing. L'erreur n'est pas « la MFA est inutile » — c'est croire que la case cochée à elle seule ferme la porte au phishing.

Questions de suivi probables

  • Comment un proxy d'adversaire au milieu déjoue-t-il en pratique un OTP temporel ?
  • Pourquoi FIDO2/WebAuthn résiste-t-il au phishing alors que l'OTP et le push non ?
  • Qu'est-ce que la fatigue MFA, et quel changement d'UX l'atténue ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.