Vous pensiez être en sécurité parce que vous avez activé l’authentification multi-facteur (MFA) ? Bravo. C’est un bon début. Mais en 2025, l’histoire ne fait que commencer. Bienvenue dans le monde du MFA Fatigue, aussi appelé Push Bombing. Un monde où la sécurité repose sur des doigts fatigués qui cliquent sur “Oui, c’est bien moi” par pur réflexe… ou par lassitude existentielle.
Petit rappel pour ceux qui dormaient pendant la sensibilisation
Le principe du MFA est simple : un mot de passe (que tout le monde recycle), + un code ou une approbation via un second facteur (généralement un smartphone). Sauf qu’au lieu d’un code à saisir, beaucoup d’entreprises ont opté pour la version “push” : une notification à valider.
Et là, c’est le drame.
Car quand un attaquant a volé vos identifiants (phishing, credential stuffing, ou juste un post-it), il lui reste à spammer l’utilisateur de demandes push, jusqu’à ce que ce dernier clique… juste pour qu’on le laisse tranquille.
Le scénario catastrophe… mais tellement fréquent
- L’attaquant tente une connexion via VPN ou O365.
- L’utilisateur reçoit une notification sur son téléphone.
- Il clique sur “Refuser”.
- Puis une deuxième. Puis une troisième. Il soupire.
- 10 minutes plus tard : “Bon ok, j’appuie sur Accepter, peut-être que c’est Outlook qui bug…”
Et voilà, vous êtes officiellement compromis. Par vous-même. Félicitations.
Mais pourquoi les utilisateurs cliquent ?
- Parce qu’ils ne savent pas ce qu’ils valident.
- Parce qu’on leur a appris à cliquer sur “oui” pour tout (RGPD, cookies, MAJ Windows…)
- Parce que la fatigue numérique est bien réelle, surtout à 7h42 du matin avant le premier café.
- Parce qu’un bon social engineer au téléphone peut enchaîner ça avec un “c’est juste un test de sécurité du support, faut valider rapidement”.
Les pires exemples récents ?
- Une grande université américaine compromise pendant la semaine de rentrée, car un étudiant a validé une centaine de demandes push “pour arrêter le bruit”.
- Un hôpital européen paralysé 3 jours : un technicien a validé l’accès d’un ransomware “par erreur”… à 2h du matin, pensant que c’était une alerte de son réveil connecté.
- Un directeur marketing qui a cliqué sans lire, croyant valider une authentification LinkedIn. C’était… le SI de l’entreprise.
Les remèdes ? Oui. Mais ils ne sont pas sexy.
1. Number Matching (Microsoft, Cisco Duo)
On vous affiche un numéro sur l’écran de login, vous devez entrer le même sur votre téléphone. Magie : un bot ne peut pas le faire pour vous. Mieux : ça empêche l’acceptation automatique par réflexe. Inconvénient : il faut lire.
2. MFA contextuel
Plutôt que “Accepter”, on vous dit “Connexion depuis la Lituanie via Android 4.2”. Si vous cliquez “oui” à ça… le problème n’est plus technique.
3. Limite du nombre de tentatives MFA
Après 5 push en 10 minutes : verrouillage. Et incident de sécurité notifié. Simple, efficace. Donc rarement activé.
Et côté éducation ?
La sensibilisation devrait inclure une nouvelle règle d’or :
“Si tu ne t’es pas connecté, ne clique pas. Et si tu ne sais pas ce que c’est… clique encore moins.”
Et un test grandeur nature en entreprise : envoyer une fausse demande MFA et voir qui clique. Spoiler : plus de 60% le font dans certaines boîtes. Et non, ce n’est pas la faute du stagiaire.
Conclusion : votre MFA, c’est comme une ceinture de sécurité… déverrouillée à chaque bip
Mettre un MFA, c’est comme installer une porte blindée. Sauf que si le premier passant qui sonne peut vous convaincre de l’ouvrir, vous restez vulnérable.
Le MFA fatigue est un exemple parfait de sécurité contournée par l’humain, encore une fois. Pas besoin de 0-day, ni de backdoor chinoise : juste un utilisateur fatigué, pressé, ou mal informé.
Alors, la prochaine fois qu’on vous dit “Nous avons activé MFA, tout est sécurisé”… demandez juste quel type de MFA. Et croisez les doigts pour que ce ne soit pas la version tapote et prie.
