AiTM : Comprendre les nouvelles attaques derrière le phishing moderne

Depuis des années, le phishing traditionnel basé sur le vol d’identifiants est une des principales portes d’entrée des attaquants pour usurper l’identité d’une victime ou revendre ses informations.
Cependant, avec la généralisation de l’authentification multi-facteur (MFA), ce type d’attaque est devenu inopérant. Face à ces nouvelles mesures défensives, les acteurs malveillants ont dû redoubler d’ingéniosité. Ils ont ainsi fait évoluer leurs tactiques vers, entre autres, l’AiTM (Adversary-in-the-Middle). Il s’agit d’une technique d’interception qui contourne la MFA en capturant le jeton de session.

La technique sophistiquée AiTM ne se contente plus de voler les identifiants : elle intercepte en temps réel le token de session, permettant à l’attaquant d’accéder au compte sans jamais être bloqué par la MFA.

Geoffrey NORO analyse pour vous les enjeux de cette menace.

Comment fonctionne une attaque AiTM ?

Contrairement au phishing classique, l’attaque AiTM ne se contente pas d’imiter la page de connexion d’un site légitime. Elle déploie un serveur proxy qui retransmet le contenu réel de la page d’authentification.

Le scénario se déroule en trois étapes clés pour piéger l’utilisateur :

1. L’interception: lorsque l’utilisateur renseigne ses identifiants sur le site malveillant, le proxy redirige instantanément la requête vers le véritable service.
2.  Le relais MFA : une demande MFA est faite à la victime, qui saisit son code (reçu par SMS ou via une application comme Microsoft Authenticator) sur l’interface du pirate. L’attaquant fournit alors ce code au service légitime pour valider la connexion.
3. Le vol du « sésame » : une fois l’authentification réussie, le service génère un cookie de session que le proxy intercepte au passage. L’acteur malveillant en possession de ce sésame pourra alors se connecter à la session de l’utilisateur sans plus jamais avoir besoin de mot de passe ou du  MFA. Pour la victime, tout se passe très vite et de façon transparente. De plus celle-ci est redirigée vers le site attendu, sans se douter que l’attaquant a désormais le contrôle de son compte.

NOTE : selon le CERT-FR (ANSSI), l’année 2025 a été marquée par une professionnalisation des tactiques de manipulation psychologique. Les cybercriminels ne se contentent plus de simples e-mails frauduleux, mais déploient désormais des techniques d’ingénierie sociale avancées pour contourner les protections techniques. Parmi les méthodes les plus fréquemment observées, on retrouve : – Le SIM-Swapping ; – Le MFA Fatigue ; – L’usurpation d’identité ou l’hameçonnage vocal. En exploitant la confiance des utilisateurs, ces méthodes visent à provoquer des actions jugées légitimes qui dissimulent en réalité une intrusion. Ce phénomène s’illustre particulièrement par le détournement d’outils RMM : sous couvert d’une assistance informatique fictive, les cybercriminels amènent les victimes à compromettre leur propre système d’information dès la phase initiale de l’attaque (source : PANORAMA DE LA CYBERMENACE 2025 – CERT-FR)

En quoi cette menace est-elle redoutable ?

Plusieurs facteurs rendent AiTM particulièrement redoutable.

• Une furtivité quasi totale : elle est totalement transparente pour l’utilisateur. Les pages qui s’affichent étant les versions réelles du site légitime, le seul indice permettant de déceler l’imposture est l’URL.
• La diversification des vecteurs : les attaquants diversifient leurs vecteurs de diffusion. Ils ne se contentent pas toujours du simple mail de phishing dans lequel ils dissimulent leurs liens malveillants, notamment parce qu’aujourd’hui les mécanismes d’anti-phishing et d’anti-spam sont massivement déployés. C’est pourquoi aujourd’hui afin de contourner ces protections, ils dissimulent ces liens dans des fichiers partagés via des outils tels que Sharepoint, OneNote ou DropBox. 
• L’usurpation de la confiance : cette méthode est également combinée à la réutilisation de comptes déjà compromis car l’utilisateur se méfiera moins si cela vient d’un contact avec lequel il a déjà pu échanger.

• L’industrialisation du modèle : cette technique s’est rapidement industrialisée avec l’arrivée de kits “clés en mains” tels que Evilginx et de modèles de Phishing as a Service, ce qui permet aux cybercriminels et autres acteurs malveillants de lancer des campagnes d’attaques AiTM à grande échelle.

NOTE : le phishing reste le vecteur d’attaque dominant (55%) avec pour principale conséquence le vol de données pour 52% des entreprises interrogées, suivi du déni de service (28%) et l’exposition de données (27%). (source : Baromètre de la cybersécurité des entreprises 2026 – CESIN & OpinionWay)

Comment faire face aux AiTM ?

Afin de neutraliser cette menace dont l’ampleur ne cesse de croître, de nouvelles solutions de défense dites « résistantes au phishing » ont vu le jour pour protéger chaque utilisateur.

Le standard FIDO2

L’une des réponses les plus robustes est d’ordre matériel, avec l’adoption du standard FIDO2 (Fast IDentity Online 2). Utilisé notamment par les clés de sécurité physiques comme les Yubikeys, ce standard change la donne : 

• Contrairement à un code OTP que l’utilisateur recopie, le matériel communique directement avec le navigateur.
• La clé vérifie l’URL du site avant de délivrer toute signature cryptographique. 
• Si un proxy malveillant est détecté, la clé détecte l’anomalie de domaine et refuse instantanément l’authentification.

Les solutions logicielles

Il existe également des solutions logicielles basées sur ce même standard, par exemple Okta FastPass. Cette méthode d’authentification sans mot de passe réalise, à l’instar des solutions matérielles, une vérification du domaine pour valider ou non la connexion. De plus, Okta permet de lier ce type d’accès à un appareil spécifique et vérifié, ce qui rend un cookie volé quasiment inutilisable via les appareils de l’attaquant.

La sensibilisation

Enfin la sensibilisation des utilisateurs reste fondamentale. Éduquer les collaborateurs à détecter les signes d’un mail ou d’une demande suspecte et à tout de même vérifier l’URL même lorsque tout leur paraît normal afin de stopper l’attaque à la source, avant même que les mécanismes techniques ne soient sollicités.

En conclusion : vers une défense globale et résiliente

L’émergence de l’AiTM met fin à une période où la MFA classique était le rempart infaillible face au phishing. Avec l’industrialisation de cette nouvelle attaque, les acteurs malveillants obligent les organisations à passer d’une sécurité basée sur la connaissance d’un code généré régulièrement à une sécurité basée sur une vérification du domaine et du canal de communication.

Le passage à une authentification robuste est un chantier complexe qui nécessite une synergie d’expertises :

• L’appui d’équipes expertes en identité numérique qui accompagnent les métiers dans la transition vers les standards FIDO2 et le déploiement de solutions de Single Sign-On (SSO) sécurisées. Même avec les meilleures défenses, le risque zéro n’existe pas. 
• Le SOC (Security Operations Center) joue un rôle crucial. En cas de vol de session réussi, un SOC performant est capable de détecter des signaux faibles : une connexion provenant d’une IP inhabituelle, des déplacements latéraux suspects ou l’utilisation d’un jeton de session depuis un appareil non reconnu.
• Une équipe GRC (Gouvernance, Risques et Conformité) robuste est le chef d’orchestre de cette défense. Son rôle est double : Analyse de risques pour cartographier précisément les vecteurs d’attaques AiTM et culture cyber afin de transformer l’utilisateur de « cible » en « acteur de la détection » via des campagnes de sensibilisation ciblées. 
• Le CERT (Computer Emergency Response Team) et la CTI (Cyber Threat Intelligence) viennent consolider cette posture avec un mélange entre approche proactive et réactive, pour appuyer la détection et répondre aux incidents de sécurité. 

En tant que pure player cyber, nous offrons une couverture 360° avec pertinence et cohérence. Nos équipes répondent à vos besoins, en conformité avec toutes les normes et standards (ISO27001, PRIS, PASSI-LPM…) . Quelle que soit la taille et le rôle de votre entreprise, ce sujet est un chantier qui vous concerne, venez faire appel à nos experts ! 

---

FAQ sur les attaques AiTM