3 signes d'une attaque MFA et comment s'en protéger

Votre téléphone professionnel ou votre application d'authentification s'affole soudainement, submergé par des dizaines de demandes de connexion? Cette situation stressante n'est pas un bug, mais le signe probable d'une attaque par fatigue MFA.

Cette technique, aussi appelée MFA bombing, exploite notre lassitude face aux alertes de sécurité pour pirater des comptes protégés. Cet article, inspiré des recommandations de l'ANSSI, vous explique comment identifier cette menace, pourquoi elle est si efficace, et surtout les gestes précis à poser dans les minutes qui suivent pour vous protéger et protéger votre entreprise.

Son objectif ? Vous pousser à commettre une erreur pour pirater votre compte, malgré la présence d’une authentification multifacteur (MFA). Cet article vous guide pas à pas pour identifier immédiatement cette menace, comprendre son mécanisme et, surtout, appliquer les bonnes actions pour vous protéger et sécuriser votre entreprise.

1-Qu'est-ce qu'une attaque par fatigue MFA ?

L’attaque par fatigue MFA, aussi appelée MFA bombing ou notification fatigue attack, est une technique de piratage qui cible non pas votre mot de passe, mais votre second facteur d’authentification. Elle vise à vous épuiser psychologiquement pour vous faire commettre une erreur.

Le scénario est toujours le même :

1. Vol de vos identifiants : Un attaquant obtient vos identifiants de connexion (nom d’utilisateur et mot de passe), souvent via un hameçonnage (phishing) ou une fuite de données.

2. Lancement d’un bombardement : Il utilise ces identifiants pour lancer des dizaines, voire des centaines, de tentatives de connexion sur votre compte, depuis un endroit différent du vôtre.

3. L’avalanche de notifications : Chaque tentative déclenche une notification push sur votre smartphone (via Microsoft Authenticator, Google Prompt, Duo, etc.) vous demandant "Approuvez-vous cette connexion ?".

4. L’erreur fatale par épuisement : Submergé par cette avalanche d'alertes, dans l’énervement, la confusion ou simplement par inadvertance, vous finissez par appuyer sur "Approuver". L’attaquant obtient alors l’accès à votre compte.

Cette menace est malheureusement bien réelle et documentée. Elle s’inscrit dans une tendance plus large de sophistication des attaques ciblant nos appareils mobiles. Dans son bulletin d’alerte CERTFR-2025-CTI-012, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) souligne que les téléphones sont des cibles d’intérêt pour les cybercriminels qui exploitent autant des vulnérabilités techniques que des méthodes d’ingénierie sociale comme celle-ci.

2-Les 3 signaux d’alarme à reconnaître absolument

Pour vous défendre, vous devez savoir reconnaître l’attaque en temps réel. Si l’un de ces scénarios se produit, considérez que vous êtes potentiellement en danger. Le premier signal est un bombardement de notifications : vous recevez une série très rapprochée de demandes d’approbation MFA, par exemple dix à vingt en moins de deux minutes.

Le second signal est une activité que vous n’avez pas initiée : ces alertes surviennent alors que vous n’avez tenté de vous connecter à aucun service.

Le troisième signal, et non des moindres, est une alerte collective : si plusieurs collègues signalent le même phénomène au même moment, cela indique une campagne ciblant spécifiquement votre organisation.

3-Que faire en cas d’attaque ? 

Face à ce bombardement, votre réaction doit être calme, rapide et méthodique. Suivez cette check-list d’urgence, étape par étape :

Actions IMMÉDIATES (Dans les premières minutes) :

NE CLIQUEZ SUR "APPROUVER" SOUS AUCUN PRÉTEXTE. C’est la règle d’or. Même pour faire cesser les alertes. N'ignorez pas simplement les notifications en pensant à un bug. Considérez-les comme une alerte rouge. Signalez l’incident immédiatement à votre service informatique, votre RSSI ou votre responsable, en utilisant un autre canal (téléphone, messagerie interne comme Teams, email depuis un autre appareil). Changez votre mot de passe pour le compte concerné, si vous en avez la possibilité et depuis un appareil sécurisé.

➤ Ce qu’il ne faut surtout PAS faire :

Face à cette situation, certaines réactions instinctives sont à proscrire absolument. Il ne faut en aucun cas approuver une seule notification, même « pour voir » ou dans l'espoir de faire cesser le flot. Cette action validerait immédiatement la connexion de l'attaquant.

Évitez également de redémarrer votre téléphone en pensant que cela va régler le problème, car les notifications peuvent très bien revenir une fois l'appareil rallumé. Enfin, la pire des attitudes serait d'attendre que la situation passe d'elle-même sans en parler à personne, ce qui laisserait le champ libre à l'attaquant et mettrait en danger vos accès ainsi que ceux de votre organisation.

4-Pourquoi cette menace est-elle si préoccupante?

L’inquiétude autour des attaques par fatigue MFA est pleinement justifiée et étayée par les plus hautes autorités. L’analyse de l'ANSSI dans son rapport CERTFR-2025-CTI-012 sur l’état de la menace mobile est éclairante à plusieurs égards. Premièrement, les mobiles sont au cœur de la cible : l’agence confirme que la centralité des smartphones dans nos vies professionnelle et personnelle en fait des objectifs prioritaires pour l’espionnage et la cybercriminalité.

Deuxièmement, on observe une sophistication et une accessibilité accrues des outils : les attaquants, qu’ils soient étatiques ou cybercriminels, ont accès à des technologies offensives de plus en plus avancées, souvent fournies par des entreprises spécialisées, ce qui « démocratise » des attaques autrefois très complexes.

Enfin, et c’est peut-être le point le plus critique, l’humain reste le maillon faible : au-delà des exploits purement techniques, le rapport souligne l’efficacité persistante des méthodes qui exploitent le facteur humain et psychologique, comme la fatigue ou la manipulation. Ainsi, le MFA bombing n’est pas une simple nuisance. C’est une menace avérée et de haut niveau, validée par l’expertise nationale, qui vise à contourner nos protections les plus robustes en jouant précisément sur nos faiblesses comportementales.

5-Comment renforcer vos défenses contre le MFA bombing ?

La protection durable repose sur une combinaison de bonnes pratiques individuelles et de mesures techniques que les organisations peuvent mettre en place. Pour les utilisateurs, plusieurs actions sont primordiales. Il est tout d'abord conseillé de privilégier les codes (TOTP) aux notifications push : utiliser une application d’authentification comme Google Authenticator, Microsoft Authenticator ou Aegis, qui génère des codes à 6 chiffres, élimine le risque de clic accidentel sur une notification.

Pour les comptes les plus sensibles, tels que l'email professionnel ou les accès administrateur, adopter une clé de sécurité physique comme une YubiKey constitue la protection la plus robuste contre le phishing et le MFA bombing. Enfin, une vigilance constante et une formation régulière sont essentielles, car connaître l'existence de cette attaque représente déjà 50% de la défense.

Pour les organisations et administrateurs IT, des mesures techniques et organisationnelles doivent être déployées. Il est fortement recommandé d'activer la fonction "Number Matching", disponible notamment dans Microsoft Authenticator, qui oblige l’utilisateur à saisir un chiffre affiché à l’écran dans son application, bloquant ainsi complètement les approbations accidentelles.

La configuration de seuils et de délais est également indispensable : il s'agit de mettre en place des règles pour bloquer temporairement les tentatives de connexion après un certain nombre d’échecs ou de demandes MFA rapprochées.

Une formation massive des collaborateurs est indispensable ; le MFA bombing doit être intégré aux programmes de sensibilisation à la cybersécurité, via des campagnes internes expliquant les signes avant-coureurs et la conduite à tenir.

Enfin, envisager des stratégies d’accès conditionnel, qui restreignent les connexions selon la localisation, l’appareil ou le réseau, permet de réduire significativement la surface d'attaque.

6-Conclusion

L’attaque par fatigue MFA est une démonstration claire que la sécurité cybernétique est un équilibre entre technologie et vigilance humaine. Aucune solution technique, aussi sophistiquée soit-elle, n’est infaillible face à la manipulation psychologique.

En comprenant les signes avant-coureurs de cette menace validée par l’ANSSI, et en adoptant des réflexes simples mais disciplinés, chaque utilisateur devient un maillon actif et résilient de la chaîne de défense. Face à un bombardement de notifications, souvenez-vous que le geste le plus puissant est aussi le plus simple : ne pas approuver, et signaler.