Vol de session : comment les pirates contournent désormais la double authentification

La page de connexion était authentique. Le pirate, lui, se tenait au milieu.

Le 8 juin 2026, les équipes Trust & Safety de Google ont publié leur dernier bulletin sur la fraude et les arnaques en ligne. Sa première section sonne comme l'acte de décès discret d'une protection que les entreprises ont mis dix ans à déployer. L'authentification multifacteur (MFA, cette deuxième étape de connexion, par exemple un code reçu sur le téléphone ou généré par une application) ne bloque plus toute une catégorie d'hameçonnage, en pleine expansion. En cause : une technique baptisée Adversary-in-the-Middle, littéralement « l'adversaire au milieu ». Une fois son fonctionnement compris, les consignes que vous répétez à vos collaborateurs paraissent soudain incomplètes.

Le bulletin s'ouvre sur l'ampleur du phénomène. Selon le rapport mondial de la criminalité financière de NASDAQ Verafin, les pertes liées à la fraude ont atteint près de 580 milliards de dollars en 2025, et environ un adulte sur cinq déclare avoir été piégé. Le chiffre marquant n'est pourtant pas ce total. C'est que le mot de passe, cible historique de presque toutes les défenses anti-hameçonnage, n'intéresse plus vraiment les attaquants les plus aguerris.

Le déroulé de l'attaque

Signé par Laurie Richardson, vice-présidente Trust & Safety de Google, l'avis détaille le procédé sans détour. Dans un hameçonnage classique, une fausse page récupère le mot de passe, puis l'attaquant se connecte plus tard ; la MFA suffit alors à l'arrêter, faute de code. L'attaque par adversaire au milieu supprime cet obstacle. Le pirate installe un serveur relais entre la victime et la véritable page de connexion. L'internaute saisit son mot de passe, le relais le transmet au site légitime, lequel réclame le code MFA, que le relais transmet à son tour : la connexion aboutit, sans rien d'anormal en apparence. Mais lorsque le site renvoie le cookie de session (ce petit jeton que le navigateur conserve pour éviter de redemander une connexion à chaque clic), le relais en garde une copie. Muni de ce cookie, l'attaquant est déjà à l'intérieur, authentifié à la place de la victime, sans mot de passe à forcer ni second facteur à fournir.

• Le quishing, ou hameçonnage par QR code, dissimule le lien piégé dans une image. Les filtres de messagerie n'y voient aucun lien à analyser, et le scan renvoie la victime vers son téléphone personnel, hors de l'appareil supervisé par l'entreprise.
• Malgré le démantèlement de grands kits de Phishing-as-a-Service (ces panoplies clés en main que les fraudeurs se louent entre eux), comme Tycoon 2FA repéré par Barracuda en avril 2026, Google constate que les volumes d'hameçonnage ne faiblissent pas.
• Parmi les leurres étudiés : de fausses alertes de renouvellement d'abonnement glissées directement dans des invitations Google Agenda, des instructions malveillantes cachées sur des « pages invisibles » de documents cloud pour déjouer les filtres web, et la campagne ClickFix, qui diffuse des logiciels malveillants sous couvert de fausses mises à jour de navigateur.

Ce que cela change pour vous

Un cookie de session volé se comporte comme un passe-partout. Il ne s'invalide pas quand la victime change de mot de passe, et il n'impose aucune des frictions que la MFA était censée ajouter. Le point gênant tient à ceux que ce piège vise : toute personne à qui l'on a appris qu'un code d'application signifie « connexion sûre » a, de fait, été entraînée à s'y précipiter. Imaginez votre service comptabilité validant une notification de renouvellement, votre support réinitialisant un compte sous pression, ou un dirigeant consultant ses courriels sur un téléphone où un QR code semble inoffensif. Le basculement de fond, celui qu'il faut porter à votre prochaine revue d'architecture, tient à l'industrialisation de l'hameçonnage : démanteler un kit n'a rien changé aux chiffres, car les leurres se génèrent et se personnalisent désormais à la vitesse de la machine, tandis que l'infrastructure relais se loue à la semaine. Le combat s'est déplacé du mot de passe vers la session, et l'essentiel des défenses monte encore la garde devant le mot de passe.

Les bons réflexes

1. Faites passer vos comptes sensibles à une MFA résistante à l'hameçonnage. Remplacez les codes d'application et les SMS par des passkeys ou des clés matérielles fondées sur le standard FIDO : liées cryptographiquement au site authentique, elles refusent de s'authentifier auprès du relais d'un attaquant, ce qui neutralise l'attaque par adversaire au milieu à la racine. Voir les recommandations de la CISA sur la MFA résistante à l'hameçonnage.
2. Liez les sessions à l'appareil et raccourcissez leur durée. Adoptez des mécanismes de liaison de session, que Google propose sous le nom de Device Bound Session Credentials, et réduisez la durée de vie des sessions pour les applications sensibles : un cookie qui ne fonctionne que sur la machine où il a été émis ne vaut plus rien une fois copié.
3. Donnez à vos équipes une règle simple sur les QR codes. Un QR code dans un courriel inattendu doit alerter, et un service légitime se rejoint en tapant soi-même son adresse, car le quishing repose entièrement sur l'idée qu'une image à scanner serait plus sûre qu'un lien, et sur le passage vers un appareil que vous ne maîtrisez pas.

À retenir

La première section de l'avis se lit trop vite, parce qu'elle n'annonce ni fuite de données ni perte record. Son message est plus discret et plus lourd de conséquences : le second facteur déployé pour empêcher les prises de contrôle de comptes ne suffit plus à lui seul, et les attaquants se sont décalés d'un cran, vers la session qu'il protège. Les passkeys et les sessions liées à l'appareil referment cette brèche. Posez une seule question lors de votre prochaine revue de sécurité : si un attaquant capturait demain la session active de l'un de vos collaborateurs, quelque chose dans votre dispositif l'arrêterait-il vraiment, ou montez-vous la garde devant une porte qu'il n'emprunte plus ?