En 2026, plus de 60 % des organisations dans le monde ont basculé sur une authentification multifacteur (MFA) pour protéger leurs comptes professionnels. Bonne nouvelle sur le papier : le mot de passe seul ne suffit plus, et le second facteur stoppe la majorité des attaques opportunistes. Mauvaise nouvelle : depuis 2022, une nouvelle vague de pirates a appris à contourner le MFA en s’attaquant, non pas au système, mais à l’humain qui le reçoit. Le bombardement de notifications, appelé MFA fatigue ou push bombing, transforme votre smartphone en outil de manipulation psychologique. Voici comment cette méthode s’est imposée dans le top 5 des compromissions majeures de la dernière décennie, et surtout ce que vous devez activer cette semaine pour ne pas être la prochaine victime.
L’essentiel en 5 minutes
- Une attaque d’ingénierie sociale : la MFA fatigue (ou push bombing) inonde votre smartphone de notifications push jusqu’à ce que vous validiez par lassitude, par erreur ou parce que quelqu’un prétend être de l’IT.
- Deux prérequis pour tomber : l’attaquant possède déjà votre identifiant et votre mot de passe (phishing, leak, dark web), et votre MFA repose sur un simple bouton Approuver/Refuser.
- Des cas réels et médiatisés : Uber et Cisco piratés par Lapsus$ en septembre 2022, vagues récurrentes contre Microsoft 365 depuis 2023, cas documentés dans le secteur hospitalier et témoignages IT Reddit en décembre 2025.
- Trois réflexes à adopter : activer le number matching (Microsoft, Google, Okta), passer au FIDO2/WebAuthn phishing-resistant, et ne jamais valider un push que vous n’avez pas déclenché vous-même.
- Pour les RSSI : limiter le nombre de tentatives, superviser les volumes anormaux dans le SIEM, former les équipes au signalement et généraliser le number matching d’ici fin 2026.
Pour bien comprendre la suite, gardez en tête ce chiffre : en 2024, l’éditeur Istari estimait à 60 % la part des organisations utilisant le MFA, et Microsoft considère depuis 2022 que la MFA fatigue est devenue l’une des cinq techniques les plus rentables pour les attaquants ciblant les comptes cloud. Cet article fait le point sur la méthodologie, les cas documentés et les défenses concrètes, en s’appuyant sur les sources publiques du secteur.
Qu’est-ce qu’une attaque par fatigue MFA (MFA bombing, push bombing) ?
La MFA fatigue, aussi appelée MFA bombing ou push bombing, est une attaque d’ingénierie sociale qui consiste à inonder l’utilisateur légitime de demandes d’authentification push jusqu’à ce qu’il en accepte une, par réflexe, par fatigue ou parce qu’un faux support IT l’y pousse. Contrairement à une attaque technique qui viserait à casser le second facteur, l’attaquant reste passif : il compte sur l’erreur humaine.
Microsoft a documenté précisément le terme dans un billet de septembre 2022 sur la communauté Tech Community : « MFA fatigue attacks occur when an attacker bombards a user with MFA push notifications, hoping the user will accidentally accept one or become frustrated enough to approve the request just to make them stop ». Depuis, la méthode s’est standardisée dans les boîtes à outils offensives et apparaît dans les guides de Abnormal.ai, Material Security, LoginRadius et plusieurs CERT nationaux.
Trois appellations, une même réalité : MFA fatigue, MFA bombing et push bombing désignent la même technique. La nuance vient du contexte : fatigue évoque la lassitude psychologique, bombing insiste sur le volume (souvent 50 à 100 notifications en quelques minutes), push bombing rappelle que la cible est une notification push mobile. Tous ciblent un humain, pas un algorithme.
📌 À retenir : Pourquoi ça marche en 2026
Le MFA classique basé sur un simple bouton « Approuver » a été conçu pour être ergonomique. C’est précisément cette simplicité qui est exploitée : valider demande moins d’effort cognitif qu’analyser le contexte de la notification. Les attaquants misent sur la décision la moins coûteuse en énergie mentale, surtout aux heures de fatigue (3 h du matin, lundi matin, vendredi soir).
Comment ça marche : la méthodologie en 5 étapes
Derrière chaque attaque MFA fatigue médiatisée, on retrouve la même chaîne opérationnelle. Voici les cinq étapes que les groupes offensifs (Lapsus$, Scattered Spider, acteurs isolés) enchaînent pour transformer un identifiant volé en accès complet à un compte cloud.
Étape 1 : Compromission initiale de l’identifiant
L’attaquant doit d’abord obtenir un couple identifiant/mot de passe valide. Les sources les plus courantes en 2025-2026 : phishing ciblé (spear-phishing par email), credential stuffing à partir de leaks précédents (24 milliards d’identifiants en circulation selon nos précédents travaux), achat sur des marchés dark web spécialisés, ou compromission d’un prestataire tiers qui synchronise les annuaires. Sans ce premier accès, la suite ne fonctionne pas.
Étape 2 : Détection du MFA activé sur le compte
L’attaquant lance une tentative de connexion avec les identifiants volés. Si le compte est protégé par MFA, l’IdP (Microsoft Entra ID, Okta, Google Workspace, Duo) déclenche une seconde étape. L’attaquant note alors que la méthode est un push notification, ce qui oriente toute la stratégie vers la fatigue plutôt que vers un contournement technique (qui serait beaucoup plus coûteux).
Étape 3 : Déclenchement du bombardement
Un script automatisé (parfois un simple outil MFA bombing disponible en open source sur GitHub) déclenche 50 à 100 demandes d’authentification en quelques minutes, parfois espacées de 20 à 30 secondes pour éviter un blocage automatique. Le téléphone de la victime se met à vibrer en continu, la batterie chauffe, l’écran s’allume en boucle. L’attaquant reste en attente, prêt à exploiter la première validation.
Étape 4 : Pression temporelle et psychologique
Les groupes les plus disciplinés programment le bombardement à des horaires ciblés. D3C Consulting et Abnormal.ai relèvent que les attaquants privilégient la nuit (3 h du matin heure locale), les week-ends, ou les lundis matins, quand la vigilance de la victime est au plus bas. Le bombardement peut aussi être déclenché juste avant un appel vishing pour brouiller les pistes.
Étape 5 : Appel vishing de « support IT » (optionnel mais redoutable)
Quand le bombardement seul ne suffit pas, l’attaquant appelle la victime en se faisant passer pour le support IT de l’entreprise (« Bonjour, on vous envoie des notifications car nous détectons une activité suspecte sur votre compte, pourriez-vous valider pour qu’on sécurise votre accès ? »). La victime, qui voit effectivement les notifications arriver en temps réel avec l’appel, accepte pensant aider. C’est exactement le scénario qui a coûté son accès à Cisco en septembre 2022.
💡 Comprendre la fenêtre d’opportunité
L’attaquant n’a besoin que d’une seule validation sur 50 à 100 tentatives. Le ratio de succès est faible individuellement, mais quand on l’applique à 1 000 comptes compromis en parallèle, deux ou trois validations suffisent à ouvrir un réseau d’entreprise complet. C’est pour cela que Microsoft, Google et Okta recommandent désormais le number matching, qui transforme le bouton Approuver/Refuser en saisie d’un code affiché à l’écran : l’attaquant ne peut plus miser sur la confusion, il doit connaître le contenu exact.
Les 5 attaques MFA fatigue les plus documentées (2022-2026)
La MFA fatigue n’est pas une vue de l’esprit. Voici les cinq cas publics les mieux documentés, qui ont servi de référence à toutes les défenses déployées depuis. Pour chaque cas, nous nous appuyons uniquement sur des sources publiques (Microsoft, Dark Reading, Reddit r/it, retours RSSI publiés).
| Cible | Date | Groupe / Auteur | Méthode | Impact | Source |
|---|---|---|---|---|---|
| Uber | Septembre 2022 | Lapsus$ (contributeur externe) | MFA bombing + vishing sur contractor externe | Accès aux outils internes (Slack, AWS, GCP, Uber Eats), données internes diffusées | Dark Reading |
| Cisco | Septembre 2022 | Lapsus$ | Push bombing nocturne + vishing se faisant passer pour le support IT | Accès VPN d’entreprise + dépôt GitHub corporate compromis | Dark Reading |
| Microsoft 365 (incidents récurrents) | 2023-2026 | Acteurs multiples (Scattered Spider, groupes russophones) | Bombardement de notifications Entra ID sur comptes admin et VIP | Multiples compromissions confirmées par Microsoft dans ses rapports Threat Intelligence | Microsoft Tech Community |
| Cas Reddit r/it (entreprises mid-market) | Décembre 2025 | Acteurs non identifiés, cas rapportés par la communauté | Bombardement toutes les 30 secondes pendant plusieurs heures, escalade vishing | « Third MFA bombing incident this month », deux utilisateurs piégés dans le même service IT | Reddit r/it (témoignages) |
| Secteur hospitalier (US) | 2024-2025 | Acteurs spécialisés santé (ransomware-as-a-service) | Fatigue MFA sur comptes de personnel soignant + soignant de garde | Perturbations de prise en charge, dossiers patients exposés, paiement de rançons dans plusieurs cas | Abnormal.ai |
⚠️ Vigilance : Numéros de téléphone et SMS compromis
Plusieurs des cas documentés ci-dessus ont enchaîné MFA bombing et SIM swapping pour récupérer le second facteur. Si vous utilisez encore le SMS comme MFA principal, combinez-le au minimum avec une app d’authentification, ou migrez vers une clé physique FIDO2. Voir notre guide dédié au SIM swapping pour comprendre les deux faces de la menace.
Pourquoi vos utilisateurs tombent dans le piège
La MFA fatigue n’est pas une faille technique, c’est une attaque contre le système cognitif humain. Comprendre les ressorts psychologiques utilisés, c’est déjà commencer à s’en protéger. Trois facteurs expliquent pourquoi des professionnels entraînés cèdent malgré tout.
La fatigue de notification et la peur de bug
Quand le smartphone vibre toutes les 30 secondes pendant 20 minutes, le cerveau passe en mode « résolution rapide ». La première interprétation qui vient est : « c’est l’application qui bug, je vais valider pour que ça s’arrête ». C’est exactement le piège. Les témoignages Reddit r/it de décembre 2025 le confirment : « users getting hammered every 30 seconds, two of them caved because they thought the MFA app was glitching ».
La conformité sociale et l’autorité
Quand un faux appel du « support IT » arrive au moment du bombardement, la victime fait un lien causal et obéit. Biais d’autorité (c’est quelqu’un de la technique, je dois coopérer) + biais de cohérence (les notifications correspondent à ce qu’on m’a dit) + peur de la réprimande (si je refuse, je vais avoir un problème). Trois biais cognitifs qui s’additionnent.
Les profils les plus exposés
Les RSSI et DSI sont statistiquement plus ciblés (ils détiennent les comptes à privilèges), mais ils sont aussi les mieux entraînés. Les profils les plus vulnérables en pratique sont les nouveaux arrivants (moins d’un mois d’ancienneté), les prestataires externes qui ne connaissent pas les procédures internes, les soignants et équipes de garde qui changent régulièrement de contexte, et toute personne travaillant dans un environnement très stressant (urgence, salle de marché, production). Material Security le souligne dès 2024 dans son guide défensif.
🔴 Facteurs de risque (augmentent la probabilité de tomber)
- MFA basé sur bouton simple : Approuver/Refuser sans saisie de code.
- SMS comme second facteur : vulnérable au SIM swapping en complément.
- Pas de limite de tentatives : un attaquant peut inonder sans déclencher d’alerte.
- Pas de formation régulière : les nouveaux arrivants n’ont pas reçu le briefing anti-fatigue.
- Pas de supervision SIEM : aucun signalement automatique de l’anomalie.
🟢 Facteurs de protection (réduisent drastiquement le risque)
- Number matching activé : l’utilisateur doit saisir le code affiché à l’écran.
- FIDO2 / WebAuthn : phishing-resistant, l’attaquant ne peut pas reproduire le facteur.
- Blocage après 3 refus : le compte se verrouille, alerte IT automatique.
- Formation trimestrielle : phishing simulé + briefing MFA fatigue.
- Détection SIEM : règle sur 100 push/hour, géolocalisation, anomalies horaires.
📌 Avant de plonger : le coût réel d’une compromission MFA fatigue
Selon les chiffres publiés par Abnormal.ai et corroborés par les retours d’expérience Reddit r/it, le coût moyen d’un incident MFA fatigue en entreprise se situe entre 15 000 et 80 000 dollars : remédiation immédiate, audit post-incident, communication aux clients, potentiellement notification CNIL sous 72 heures. À ce coût direct s’ajoute l’impact réputationnel : un incident médiatisé (comme Uber ou Cisco en 2022) entraîne mécaniquement une perte de confiance client. C’est pour cela que les organisations matures traitent désormais le MFA fatigue comme un risque stratégique, pas seulement opérationnel.
Comment protéger votre organisation : 5 mesures défensives concrètes
Pour un RSSI, DSI ou responsable IT, la question n’est plus de savoir si vous serez ciblé, mais quand. Voici cinq mesures opérationnelles à déployer d’ici fin 2026, classées par impact et facilité de mise en œuvre. La majorité se configurent en quelques heures sans changement matériel.
Mesure 1 : Activer le number matching sur tous les IdP
Microsoft Entra ID, Google Workspace, Okta et Duo supportent tous le number matching : au lieu d’afficher « Approuver / Refuser », l’application affiche un nombre à deux chiffres que l’utilisateur doit saisir dans son app d’authentification. L’attaquant, qui ne voit pas votre écran, ne peut pas deviner le code. Activation en 30 minutes via le portail admin Microsoft Entra (Authentication Methods → Number Matching → Enabled). Coût : zéro, friction utilisateur : minimale.
Mesure 2 : Limiter le nombre de tentatives et alerter
Configurez votre IdP pour bloquer automatiquement le compte après 3 à 5 push refusés consécutifs, et déclencher une alerte vers le SOC ou le helpdesk IT. Microsoft permet ce verrouillage via les « Authentication Strengths » et les Conditional Access policies. C’est la mesure qui aurait empêché les cas Reddit r/it de décembre 2025 : le bombardement s’arrête tout seul au bout de quelques minutes.
Mesure 3 : Désactiver le push bombing legacy, passer au FIDO2
Le MFA basé sur push n’est pas « phishing-resistant » au sens strict. Microsoft, Google et le NIST recommandent désormais le FIDO2 / WebAuthn (clés physiques YubiKey, Titan, Feitian, ou passkeys intégrées aux appareils modernes). Ce second facteur ne peut pas être rejoué par un attaquant distant : voir notre guide des clés de sécurité physiques pour le déploiement concret.
Mesure 4 : Sensibiliser les équipes avec des scénarios réalistes
Une formation annuelle ne suffit plus. Programmez un phishing simulé trimestriel qui inclut explicitement un scénario de MFA bombing : 50 push sur 30 minutes, suivi d’un faux appel Teams du « support IT ». Les utilisateurs qui valident sont briefés en coaching individuel. Les meilleurs outils du marché (KnowBe4, Hoxhunt, Riot, Cyber Mentor) intègrent ce type de simulation depuis 2024.
Mesure 5 : Détecter les patterns anormaux dans le SIEM
Ajoutez trois règles dans votre SIEM (Sentinel, Splunk, Elastic, Wazuh) : (1) plus de 100 push notifications par utilisateur par heure, (2) push depuis une géolocalisation inhabituelle pour ce compte, (3) compte dormant qui reçoit soudainement du push MFA à 3 h du matin. Material Security recommande de corréler ces signaux avec les IdP via les logs d’audit Entra ID / Okta pour déclencher une revue en temps réel.
| Mesure | Difficulté | Délai | Impact | IdP compatibles |
|---|---|---|---|---|
| Number matching | Faible | 1 jour | Élevé (bloque 90 % du push bombing classique) | Microsoft Entra, Google, Okta, Duo |
| Limite de tentatives + alerte | Faible | 1-2 jours | Élevé (coupe net les bombardements longs) | Microsoft Entra, Okta |
| FIDO2 / WebAuthn | Moyenne | 2-4 semaines | Critique (phishing-resistant, pas de replay possible) | Microsoft Entra, Google, Okta |
| Sensibilisation trimestrielle | Moyenne | 1 mois (mise en place), puis continu | Moyen (réduit le facteur humain sur la durée) | Tous (organisationnel) |
| Règles SIEM anti-fatigue | Élevée | 3-6 semaines | Élevé (détection en temps réel) | Tous via logs d’audit |
💡 À planifier sur 12 mois
L’ANSSI et le NIST recommandent une trajectoire en trois phases sur 12 mois : phase 1 (mois 1-3) activer le number matching et les limites de tentatives sur 100 % des comptes ; phase 2 (mois 4-6) généraliser le FIDO2 sur les comptes à privilèges (admin, VIP, finance, RH) ; phase 3 (mois 7-12) étendre FIDO2 à l’ensemble des collaborateurs et désactiver le push SMS. C’est cette trajectoire qui a permis aux organisations matures de sortir indemnes des vagues MFA bombing 2024-2026.
Comment protéger votre compte personnel : la check-list en 15 minutes
Vous n’êtes pas RSSI ? Vous pouvez quand même durcir votre MFA personnel en moins d’un quart d’heure, depuis votre canapé. Voici la check-list concrète, applicable à Microsoft 365, Google, Apple, Meta et Twitter/X.
- Activez le number matching sur votre compte Microsoft 365 et Google. Sur Microsoft : compte → Sécurité → Options de sécurité avancées → Number Matching → Activé. Sur Google : myaccount.google.com → Sécurité → Validation en deux étapes → Code d’application mobile (au lieu de simple Invite).
- Remplacez le SMS par une app d’authentification : Microsoft Authenticator, Google Authenticator, Authy ou Aegis. Le SMS reste vulnérable au SIM swapping, comme nous l’avons documenté dans notre guide SIM swapping 2026.
- Configurez une méthode de secours : une clé physique (YubiKey 5, Google Titan, Feitian K9) si votre service le supporte (Apple, Google, Microsoft, Twitter/X via passkeys). Coût : 25 à 70 € pour une clé USB-C, à vie.
- Ne validez jamais un push inattendu. Si vous recevez une demande d’authentification que vous n’avez pas déclenchée, c’est une attaque. Refusez-la systématiquement, puis changez votre mot de passe dans la foulée.
- Surveillez vos sessions actives : Microsoft account → Mes connexions, Google → Sécurité → Vos appareils, Apple → Réglages → Connexion et sécurité. Si vous voyez un push refuser provenir d’un pays où vous n’êtes pas, c’est qu’un attaquant a déjà votre mot de passe.
📌 Bon à savoir : App Authenticator compromise
Si vous avez déjà validé un push frauduleux, désinstallez et réinstallez votre app d’authentification, changez immédiatement votre mot de passe, révoquez toutes les sessions actives, et activez une méthode de secours (clé physique ou SMS). Si vous utilisez un compte Microsoft 365 professionnel, contactez votre helpdesk dans l’heure : ils peuvent forcer la révocation des sessions côté serveur via Entra ID (Revoke-AzureADUserAllRefreshToken). Voir aussi notre guide complet 2FA pour la marche à suivre détaillée.
Faut-il désactiver le MFA ? Non, mais il faut l’évoluer
Devant la montée des attaques par fatigue, une question revient régulièrement : faut-il désactiver le MFA ? La réponse est non. Le MFA reste efficace contre plus de 99 % des attaques par mot de passe seul, qui constituent toujours la majorité du trafic offensif. Ce qu’il faut, c’est faire évoluer le type de MFA utilisé, pas le supprimer.
Microsoft l’a résumé dès septembre 2022 : l’ancien MFA (SMS, simple push) est désormais obsolète en 2026. Le MFA moderne (FIDO2, WebAuthn, passkeys) est conçu dès l’origine pour résister au phishing, donc par construction au push bombing : l’attaquant ne peut pas reproduire le facteur matériel, et le serveur vérifie l’origine du second facteur. La cible collective à horizon 2026-2027 est claire : 100 % de MFA phishing-resistant sur les comptes à privilèges, généralisation progressive sur les comptes standards.
💡 Trois conseils si vous rédigez votre politique de sécurité
Premièrement, interdisez explicitement le push simple (Approuver/Refuser seul) dans votre charte, au profit du number matching ou du FIDO2. Deuxièmement, interdisez le SMS comme seul second facteur pour les comptes à privilèges, et imposez-le comme méthode de secours uniquement. Troisièmement, planifiez la migration vers les passkeys intégrées aux appareils (iCloud Keychain, Google Password Manager, Microsoft Wallet) d’ici fin 2026 : c’est l’avenir du MFA grand public, sans coût matériel et avec une expérience utilisateur plus fluide.
FAQ : Attaques MFA fatigue : vos 10 questions fréquentes
1. Une attaque MFA fatigue peut-elle fonctionner sans phishing initial ? ▼
Non, pas en pratique. L’attaquant a besoin d’un couple identifiant/mot de passe valide pour déclencher les demandes de second facteur. Ce premier accès vient presque toujours d’un phishing ciblé, d’un credential stuffing (réutilisation de leaks) ou d’un achat sur le marché noir. Le MFA fatigue n’est que la deuxième étape : elle exploite le premier accès déjà obtenu. Voir notre article sur les 24 milliards d’identifiants en circulation.
2. Comment savoir si je suis ciblé par un MFA bombing en ce moment ? ▼
Le signal numéro un est simple : vous recevez plusieurs demandes d’authentification push en quelques minutes alors que vous n’êtes pas en train de vous connecter vous-même. Si vous voyez plus de 3 notifications push consécutives non sollicitées, considérez que c’est une attaque. Refusez-les toutes, puis changez votre mot de passe et vérifiez vos sessions actives depuis l’interface web du service.
3. Mon application Authenticator est compromise, que faire immédiatement ? ▼
Si vous avez validé un push que vous n’auriez pas dû valider, le compte n’est pas pour autant « compromis » au sens où votre app est infectée : c’est votre compte qui est accessible à l’attaquant. Dans l’ordre : (1) changez immédiatement votre mot de passe depuis un appareil de confiance, (2) révoquez toutes les sessions actives (option disponible sur Microsoft, Google, Okta), (3) reconfigurez le MFA sur un nouvel appareil, (4) prévenez votre helpdesk IT si c’est un compte professionnel.
4. Le SMS est-il encore sûr comme second facteur en 2026 ? ▼
Le SMS reste acceptable comme méthode de secours, mais il ne doit plus être votre méthode principale. Il est vulnérable au SIM swapping (un pirate convainc votre opérateur de migrer votre numéro sur sa carte SIM) et aux interceptions SS7. Microsoft, Google et le NIST recommandent désormais le push avec number matching, ou mieux le FIDO2. Si vous gardez le SMS, combinez-le avec une clé physique ou une app d’authentification.
5. Quelle est la différence entre MFA bombing et SIM swapping ? ▼
Le MFA bombing exploite la fatigue psychologique de l’utilisateur face à un volume anormal de notifications push. Le SIM swapping exploite une faille opérateur pour transférer votre numéro de téléphone sur la SIM de l’attaquant, qui reçoit ensuite vos SMS. Les deux peuvent être combinés : un attaquant qui a compromis votre identifiant peut, en complément du MFA bombing, déclencher un SIM swapping pour intercepter un éventuel code SMS de secours. Voir notre article dédié au SIM swapping.
6. Les clés physiques (YubiKey) sont-elles vulnérables à la MFA fatigue ? ▼
Non, par construction. Une clé FIDO2 (YubiKey, Google Titan, Feitian, Token2) ne peut pas être déclenchée à distance par un script : il faut un contact physique (USB ou NFC) et une action de l’utilisateur (appuyer sur le bouton, scanner l’empreinte). L’attaquant distant ne peut donc pas la bombarder de demandes. C’est pour cela que le NIST, Microsoft et Google recommandent désormais le FIDO2 comme méthode de MFA de référence pour les comptes à privilèges. Voir notre comparatif des clés physiques 2026.
7. Comment reconnaître un vishing IT légitime d’une arnaque ? ▼
Trois signaux d’alerte immédiats : (1) un vrai support IT ne vous demandera JAMAIS de valider un push MFA en temps réel, ils peuvent le faire eux-mêmes côté serveur ; (2) un vrai support ne vous demandera jamais votre mot de passe ni votre code MFA ; (3) un vrai support peut justifier sa demande avec un numéro de ticket interne. En cas de doute, raccrochez et rappelez votre IT via le numéro officiel (intranet, annuaire). Les attaquants comptent sur l’effet de surprise.
8. Que faire si j’ai déjà validé un push frauduleux ? ▼
Agissez dans les 30 minutes pour limiter l’impact. Changez immédiatement votre mot de passe depuis un autre appareil (téléphone si vous étiez sur PC, ou inversement), révoquez toutes les sessions actives (rubrique « Mes appareils » ou « Sécurité »), et vérifiez votre compte dans l’heure qui suit pour repérer toute activité inhabituelle. Si c’est un compte professionnel, alertez votre helpdesk IT dans la foulée : ils peuvent révoquer le token d’accès côté serveur et couper la session de l’attaquant. Voir aussi notre guide mot de passe oublié pour la procédure complète.
9. Combien coûte une attaque MFA fatigue pour le pirate ? ▼
Très peu. Le phishing initial peut être automatisé pour quelques centaines d’euros en infrastructure, et de nombreux outils MFA bombing open source circulent sur GitHub. Les credentials achetés sur le dark web coûtent entre 5 et 50 dollars par compte selon le profil (un compte admin d’entreprise se négocie plus cher qu’un compte personnel). Pour l’attaquant, le ROI reste élevé tant que les organisations n’ont pas activé le number matching et les limites de tentatives. C’est pour cela que les défenses systématiques sont si efficaces.
10. Les attaquants ciblent-ils aussi les particuliers, ou seulement les entreprises ? ▼
Les particuliers sont ciblés de plus en plus souvent, surtout ceux qui détiennent des comptes à forte valeur : comptes bancaires en ligne, comptes crypto, comptes email principaux (vecteur de compromission des autres comptes via « password reset »). Les attaquants cherchent en priorité les comptes qui permettent de rebondir vers d’autres : un email personnel compromis permet de lancer la procédure « mot de passe oublié » sur LinkedIn, Facebook, Amazon, et de chaîner. Si vous avez un seul compte à protéger en priorité, c’est votre boîte email principale.
⚠️ Action urgente : ce que vous devez faire cette semaine
Pour les particuliers : activez le number matching sur votre compte Microsoft 365 et Google dès aujourd’hui. Remplacez le SMS par Microsoft Authenticator ou Authy. Si vous êtes sur Twitter/X ou Apple, configurez une passkey (clé d’accès) en complément.
Pour les professionnels IT / RSSI : lancez un audit de votre IdP cette semaine : combien de comptes utilisent encore le push simple sans number matching ? Combien utilisent encore le SMS seul ? Combien de comptes à privilèges sont encore sur push plutôt que sur FIDO2 ? Activez le blocage après 3 refus sur Entra ID et Okta. Ces trois réglages seuls bloquent 80 % du risque MFA fatigue documenté.
Conclusion : la MFA fatigue, une attaque simple mais évitable
En 2026, plus de 60 % des organisations mondiales utilisent le MFA. C’est une bonne nouvelle pour la sécurité collective, mais cela a aussi transformé le MFA en nouvelle surface d’attaque. Les pirates ne cassent plus le second facteur : ils poussent l’humain à le valider. La MFA fatigue, ou push bombing, n’est pas une vulnérabilité technique, c’est une attaque d’ingénierie sociale qui mise sur la fatigue, la peur et la conformité.
Cinq mesures concrètes suffisent à neutraliser 95 % du risque : activer le number matching sur tous les IdP, limiter le nombre de tentatives, migrer vers le FIDO2 / WebAuthn sur les comptes à privilèges, former les équipes avec des scénarios réalistes, et superviser les patterns anormaux dans le SIEM. Pour les particuliers, la check-list en 15 minutes (number matching + app d’authentification + clé physique de secours) divise le risque par dix.
Si vous ne deviez retenir qu’une chose : ne validez jamais un push que vous n’avez pas déclenché vous-même. Tout le reste : Microsoft, Google, Okta, FIDO2, SIEM : n’est que l’outillage qui rend cette règle applicable à l’échelle d’une organisation.
Pour aller plus loin, retrouvez notre guide complet 2FA, notre comparatif des clés de sécurité physiques 2026, et notre dossier sur le SIM swapping pour comprendre toutes les méthodes qui visent vos seconds facteurs.
📌 À lire aussi sur alexitauzin.com
Pour comprendre comment vos identifiants se retrouvent entre les mains des pirates avant même l’attaque MFA, lisez notre enquête sur les 24 milliards d’identifiants volés. Pour les organisations qui veulent tester leur résilience face au phishing en conditions réelles, notre dossier sur Kali365 et le contournement MFA Microsoft 365 détaille les outils offensifs utilisés par les attaquants et les parades.







