×
Accueil Tutoriels Infos Geeks Bons Plans Cybersécurité Contact Demander de l’aide
2FA vulnérable ? Les attaques AiTM volent vos sessions en WiFi public Cybersécurité & Ransomware

2FA vulnérable ? Les attaques AiTM volent vos sessions en WiFi public

13 Juil 2026 •






2FA vulnérable ? Les attaques AiTM volent vos sessions en WiFi public

2FA vulnérable ? Les attaques AiTM volent vos sessions en WiFi public

Je vous jure, après 15 ans à dépanner des PC et des réseaux, je peux vous dire une chose : la 2FA, c’est comme un antivol sur une porte en carton. Ça fait joli dans les présentations tech, mais dès qu’un attaquant s’y met sérieusement, pouf – plus rien ne tient.

Surtout quand vous êtes connecté sur le WiFi gratuit de l’aéroport, ce petit réseau qui s’appelle « HotelFreeWiFi » ou « Starbucks_Gratuit ». Parce que mine de rien, entre l’attente du vol et votre troisième café, vous oubliez que ces réseaux sont des autoroutes à données… et à attaques. Les attaques AiTM (Adversary-in-the-Middle), c’est la nouvelle grande mode des pirates. Et elles sont bien plus efficaces que le bon vieux « j’ai oublié mon mot de passe ».

Quand la 2FA devient un paravent en papier mâché

Vous pensez que votre mot de passe + un code SMS ou une appli comme Google Authenticator, c’est invincible ? Détrompez-vous. Les attaques AiTM, c’est l’intrusion active entre vous et le service que vous utilisez. L’attaquant ne se contente pas d’écouter – il seplace carrément dans la conversation, comme un faux conseiller bancaire qui répond à votre place.

Prenons un exemple concret. Vous êtes en voyage, vous vous connectez à votre banque via le WiFi de l’hôtel. Pendant que vous entrez votre mot de passe, un attaquant – un vrai, pas un script kiddie avec un Raspberry Pi – intercepte la requête et vous renvoie une fausse page de connexion. Vous entrez votre code 2FA. Lui, il le vole. Et hop, il est dans votre compte avant même que vous ayez fini votre expresso.

Le pire ? Vous ne verrez même pas la différence. Rien ne clignote en rouge, pas de message d’erreur. Votre session est simplement « piratée » en arrière-plan, comme une voiture qu’on vous vole sans vous prévenir. Pour moi, c’est juste une question de temps avant que les pirates ne transforment ça en routine. Et Windows, bien sûr, ne fera rien pour vous protéger – parce que Microsoft adore pousser les mises à jour qui cassent tout, mais jamais un vrai outil de sécurité.

Le WiFi public, ce terrain de jeu des attaquants

Vous voulez un autre exemple ? La semaine dernière, un client m’a appelé parce que son compte Microsoft avait été compromis. Il travaillait dans un café, connecté au WiFi public. En deux heures, un attaquant avait récupéré ses identifiants + son code 2FA via une attaque AiTM. Et devinez quoi ? Le réseau s’appelait « CaféLibre2024 ». Pas besoin d’être un génie pour comprendre que c’était un leurre.

Les pirates n’ont même plus besoin d’être des as du hacking. Avec des outils comme Evilginx ou Modlishka, ils peuvent automatiser 90% du processus. Vous entrez vos identifiants ? Ils les reçoivent. Vous validez votre 2FA ? Ils le reçoivent aussi. Et vous, vous vous dites juste : « Tiens, mon compte a l’air lent aujourd’hui. »

Le plus ironique, c’est que la plupart des gens savent que les WiFi publics sont dangereux. Pourtant, ils continuent à y connecter leur téléphone, leur ordinateur, leur tablette. Comme si une simple mention « Sécurisé avec WPA2 » suffisait à rendre le réseau fiable. Spoiler : ça ne suffit pas. Un attaquant peut tout à fait créer un faux point d’accès avec le même nom que le réseau officiel, et vous ne verrez la différence que quand il faudra changer votre mot de passe.

Le 2FA par SMS ? Un cadeau pour les pirates

Vous utilisez encore les SMS pour votre 2FA ? Félicitations, vous venez de donner un chèque en blanc à n’importe quel attaquant. Parce que les SMS, c’est comme envoyer une carte postale : tout le monde peut la lire en chemin.

Le vrai problème, c’est que les opérateurs télécoms ne font RIEN pour sécuriser ces messages. Un attaquant peut facilement rediriger votre numéro de téléphone via une attaque par SIM swapping. Ou pire, intercepter le SMS directement sur le réseau en utilisant une faille comme celle de SS7. Vous pensez que votre code est à l’abri dans votre poche ? Pas du tout. Il est en train d’être lu par un inconnu quelque part en Europe de l’Est.

Et les applis comme Google Authenticator ? Mieux, mais pas parfait. Oui, elles sont plus sûres que les SMS. Mais si l’attaquant a réussi à s’insérer entre vous et le serveur (via une attaque AiTM, bien sûr), il peut tout aussi bien voler le code avant même que vous ne l’entriez. La 2FA par appli, c’est comme mettre une serrure en fer sur une porte en bois pourri.

Alors, la 2FA ça sert à quelque chose ou pas ?

Écoutez, je ne vais pas vous dire d’arrêter d’utiliser la 2FA. Parce que c’est quand même mieux que rien. Mais soyons clairs : la 2FA, c’est une solution d’appoint, pas une armure. Si vous vous connectez depuis un WiFi public, depuis un PC infecté ou depuis un café où le patron a laissé son routeur en admin/admin, vous êtes déjà cuit.

Alors, quoi faire ? D’abord, utilisez un VPN – et pas un VPN gratuit, hein. Un bon VPN comme ceux que je recommande à mes clients (et oui, je touche une commission, mais au moins c’est un outil qui fonctionne). Ensuite, activez la 2FA par clé matérielle (type YubiKey) ou au minimum par appli. Les SMS, c’est mort. Et surtout, arrêtez de vous connecter depuis des WiFi publics.

Le pire, c’est que les grandes entreprises savent tout ça. Microsoft, Google, les banques… Ils vous vendent la 2FA comme une solution miracle. Mais en réalité, ils comptent sur le fait que vous allez vous faire avoir un jour. Parce que si tout le monde était prudent, les attaques seraient bien moins rentables. Et les pirates cherchent justement les gens qui font confiance à ces fausses promesses.

Le seul vrai rempart : une paranoïa assumée

Moi, après 15 ans à voir des clients se faire pirater, je vous le dis : la seule façon de rester à peu près safe, c’est d’être paranoïaque. Pas au point de vivre dans une cage de Faraday, mais assez pour vous poser les bonnes questions.

  • Est-ce que je fais vraiment confiance à ce réseau WiFi ?
  • Est-ce que mon navigateur est à jour ? (Oui, ça compte.)
  • Est-ce que j’utilise un gestionnaire de mots de passe ? (Si non, commencez MAINTENANT.)
  • Est-ce que je vérifie systématiquement l’URL avant d’entrer mes identifiants ? (Non, le petit cadenas ne suffit pas.)

Et surtout, arrêtez de croire que votre fournisseur de services a tout sécurisé pour vous. Parce que si c’était le cas, on n’aurait pas des millions de comptes piratés chaque année. La sécurité, c’est comme la santé : ça se travaille tous les jours, pas seulement quand ça va mal.

Ne restez pas les bras croisés – passez à l’action

Je ne sais pas comment vous faire comprendre ça, alors je vais être cash : si vous ne changez rien à vos habitudes, vous allez vous faire avoir. Et pire encore, vous allez perdre des données, de l’argent, ou pire – votre réputation.

Alors aujourd’hui, faites-moi plaisir :

  • Désactivez la 2FA par SMS. Tout de suite.
  • Achetez une clé YubiKey (ou une alternative) et configurez-la sur vos comptes les plus importants.
  • Installez un VPN et utilisez-le systématiquement en WiFi public.
  • Vérifiez vos paramètres de sécurité sur tous vos comptes. Oui, même ceux que vous utilisez une fois par an.

Et si vous ne faites rien de tout ça ? Ne venez pas pleurer quand votre compte sera vidé. Parce que la technologie, ça ne protège que ceux qui en prennent soin.

Pour aller plus loin : L’article original sur Korben


Source : article original

🔗 Nos autres sites :
Please follow and like us:
Pin Share
Un projet Paradoxe  —  Vous êtes entre de bonnes mains. Huit, exactement.