Comment fonctionne le kit de phishing Tycoon 2FA

Les techniques de phishing Tycoon 2FA permettent aux attaquants de contourner entièrement la connexion. Même si bloquer ce type d'attaques adversaire-au-milieu (AiTM) reste difficile, une authentification multifacteur (MFA) soigneusement mise en œuvre, associée à des contrôles d'accès adaptés, contribue à limiter les risques liés aux attaques de contournement de la MFA.

En 2023, une nouvelle plateforme de phishing adversaire-au-milieu (AiTM) baptisée Tycoon 2FA a vu le jour, remettant en question cette hypothèse. Il s'est avéré que si les attaquants ne pouvaient pas contourner la MFA elle-même, ils pouvaient faire ce qu'il y avait de mieux : voler les jetons de session.

Les utilisateurs se connectent en saisissant le bon mot de passe et en répondant à l'invite de la MFA. Cependant, en raison de la conception sans état du protocole HTTP, ce qui les maintient connectés est le jeton de session cryptographique encapsulé dans un cookie. Sans ce petit élément de commodité stocké sur l'appareil, les utilisateurs devraient se réauthentifier en permanence à chaque chargement de page ou appel API.

La possibilité que des adversaires puissent voler ces jetons de session ou ces cookies était connue depuis un certain temps. Commercialisé sous forme de Phishing-as-a-Service (PhaaS), l'innovation de Tycoon 2FA a été de rendre cette opération beaucoup plus accessible aux attaquants non experts.

Comment fonctionne le contournement Tycoon 2FA

En apparence, une attaque Tycoon 2FA fonctionne comme n'importe quelle attaque de phishing : l'utilisateur reçoit un e-mail de phishing convaincant contenant un lien malveillant ou un QR code.

1. En cliquant sur le lien, l'utilisateur est dirigé vers une fausse page de connexion (générée en temps réel à partir de vrais modèles de connexion Microsoft 365, Gmail Business ou d'un compte cloud).

2. Les victimes qui tentent de se connecter sont acheminées via un proxy inverse (l'« adversaire au milieu »), qui s'intercale entre l'utilisateur et le domaine légitime.

3. Le processus de connexion et d'authentification semble normal. Le proxy transmet le mot de passe au site de connexion authentique, puis renvoie la demande de la MFA. Lorsque l'utilisateur la saisit, celle-ci est également transmise au site légitime.

4. À ce stade, le site légitime renvoie un jeton de session encapsulé dans un cookie, nécessaire à la persistance de la session utilisateur.

L'attaquant intercepte le jeton de session/cookie associé aux identifiants légitimes et à la MFA. Injecté dans le navigateur de l'attaquant, celui-ci lui permet d'apparaître comme un utilisateur valide aux yeux du serveur, contournant ainsi la nécessité de s'authentifier par mot de passe ou via la MFA tant que le jeton reste valide.

La durée de vie de ce jeton de session dépend de la configuration de l'expiration côté serveur, et peut aller de quelques heures à plusieurs jours. Jusqu'à cette expiration, les attaquants sont libres d'exploiter le compte compromis.

La première leçon que nous enseigne Tycoon MFA, c'est que si la MFA améliore considérablement la sécurité des identifiants, elle n'est pas pour autant invulnérable.

La MFA est un principe décliné à travers plusieurs technologies distinctes, dont certaines sont plus sécurisées que d'autres. Mais plus une technologie de MFA est sécurisée, moins elle est pratique, ce qui contraint les défenseurs à faire des compromis. Les jetons de session avec des durées d'expiration longues en sont un exemple.

La seule technologie capable de résister aux attaques de contournement de la MFA, comme les attaques AiTM, est la MFA résistante au phishing.

Lorsque la MFA est configurée pour fonctionner avec un token matériel ou une clé d'accès (passkey), le domaine légitime est lié à l'identifiant grâce à une liaison d'origine cryptographique par clé publique. Aucun autre domaine, y compris le domaine de phishing du proxy AiTM, ne fonctionnera.

C'est là le talon d'Achille du phishing : la victime doit être attirée vers un faux domaine pour que l'attaque puisse débuter. La MFA résistante au phishing résout ce problème en liant cryptographiquement les clés d'authentification à l'origine légitime, rendant toute tentative d'authentification depuis un domaine frauduleux impossible.

Malheureusement, la MFA résistante au phishing présente quelques inconvénients. Les tokens matériels sont coûteux et peuvent être perdus par les utilisateurs, ce qui nécessite alors une réinitialisation pour éviter un blocage d'accès. Ce processus introduit lui-même de nouvelles vulnérabilités que les attaquants peuvent exploiter.

WebAuthn et les passkeys apportent une réponse solide à ces limitations. Cependant, leur support varie encore selon les plateformes et les appareils, et leur intégration avec des technologies comme les VPN ou le RDP nécessite une configuration supplémentaire.

En mars 2026, la suprématie de Tycoon MFA sur la MFA a été stoppée net lors d'une opération conjointe entre Europol, Microsoft et d'autres éditeurs de sécurité, aboutissant à la saisie de 300 domaines utilisés pour fournir la plateforme PhaaS à ses quelque 2 000 clients.

Néanmoins, dans la mesure où les outils et techniques employés par Tycoon 2FA ont été repris par d'autres plateformes de phishing pour contourner la MFA apparues depuis 2023, les bénéfices de cette opération risquent d'être éphémères.

Des systèmes de phishing tels que Tycoon 2FA nous rappellent que tous les systèmes d'authentification, y compris la MFA, sont susceptibles de défaillir, d'être mal configurés ou de faire face à des attaques inédites.

Pendant des décennies, les mots de passe ont semblé suffisants, jusqu'à ce que cela commence à s'effondrer lorsque les attaquants ont trouvé comment les voler. La MFA représente une nette amélioration par rapport aux seuls mots de passe, mais la technologie repose souvent encore sur l'échange de données qui peuvent être dérobées ou usurpées.

La MFA résistante au phishing offre une protection robuste, mais même cette couche peut échouer dans certaines circonstances. En résumé, aucun système d'authentification n'est infaillible.

Cela soulève une question fondamentale : en supposant que les attaques de contournement de la MFA deviennent à terme une technique standard, la MFA est-elle encore suffisante ?

Aujourd'hui, la priorité pour les défenseurs doit être de réduire leur surface d'attaque. UserLock y contribue de plusieurs manières.

Avec UserLock, les équipes IT peuvent appliquer la MFA sur les invites Windows UAC. Cela ajoute une vérification d'identité à un moment clé où les attaquants tentent d'élever leurs privilèges.

UserLock permet également aux équipes IT de mettre en place des contrôles d'accès post-authentification, notamment en limitant les accès simultanés par utilisateur ou par unité organisationnelle (UO).

Si un attaquant tente d'utiliser le jeton de session volé, le système détectera cet accès comme une session simultanée et le bloquera. Même si cela n'empêche pas les attaquants d'utiliser le jeton de session lorsque l'utilisateur légitime se déconnecte, cela les contraint à patienter. Si un attaquant tente de réutiliser un jeton de session pendant que l'utilisateur légitime est connecté, une alerte sera déclenchée.

UserLock permet également d'appliquer des contrôles d'accès contextuels basés sur l'adresse IP, les horaires, l'appareil et les restrictions géographiques.

Les administrateurs peuvent configurer des délais d'expiration pour les sessions inactives et définir une durée de session maximale avant qu'une nouvelle authentification soit requise. Combinées, ces mesures limitent la liberté de mouvement des attaquants, même s'ils disposent d'un jeton de session valide.

De manière cruciale, même lorsqu'une attaque de contournement de la MFA ne peut pas être bloquée, cela ne signifie pas qu'elle ne peut pas être détectée après que l'authentification a eu lieu.

La force de UserLock réside dans le fait qu'il opère comme une couche de protection pour Active Directory (AD) lui-même, et pas uniquement pour le processus d'authentification. Cela lui permet de surveiller le comportement des comptes, y compris lorsqu'un compte potentiellement compromis tente de se déplacer latéralement ou d'élever ses privilèges.

Cela souligne que si une attaque de contournement Tycoon 2FA ne peut pas toujours être stoppée, il reste possible de détecter l'activité d'un compte compromis après l'authentification.