Le MFA Bombing (aussi appelé MFA Fatigue Attack, MFA Spamming ou Push Spam) est une technique d’attaque visant à contourner l’authentification multifacteur (MFA). L’objectif des cybercriminels est d’exploiter la fatigue ou la distraction des utilisateurs pour les inciter à approuver une demande d’accès frauduleuse. De plus en plus d’entreprises prennent ces attaques très au sérieux, car elles visent le facteur humain, souvent considéré comme le maillon faible des stratégies de sécurité.
Comment fonctionne le MFA Bombing ?
Lors d’un MFA bombing, l’attaquant tente de se connecter à un compte d’entreprise — souvent un compte professionnel ou un service cloud — à l’aide d’un mot de passe volé.
Chaque tentative de connexion déclenche une notification MFA, par exemple via une application comme Microsoft Authenticator, Google Authenticator, un e-mail ou un SMS. L’attaquant exploite cette fonction pour inonder l’utilisateur de notifications, parfois des dizaines par minute, souvent en dehors des heures de travail (soir, nuit, week-end). Sous la fatigue, la panique ou la lassitude, la victime finit par accepter la demande de validation — donnant ainsi un accès total au compte.
Une fois la validation obtenue, l’attaquant peut se déplacer dans le système d’information pour exfiltrer des données, préparer un ransomware, ou compromettre d’autres comptes.
Pourquoi cette attaque est-elle si efficace ?
La réussite du MFA bombing repose sur un principe simple : l’humain finit toujours par céder à la fatigue ou au stress. Même les collaborateurs formés peuvent se laisser surprendre par une série de notifications intempestives grâce aux outils utilisés par les attaquants permettant d’automatiser l’envoi de milliers de requêtes MFA à très faible coût.
Cependant, il ne faut pas négliger le manque de sensibilisation : beaucoup d’utilisateurs ignorent que le MFA lui-même peut être exploité. Un utilisateur non informé peut ainsi confondre une attaque avec un simple bug de son application MFA.
C’est pourquoi la formation et la mise en place d’un cadre IAM solide sont indispensables. Découvrez comment SkillX accompagne les entreprises sur ce sujet avec ses services IAM ici.
Exemples concrets d’attaques MFA Bombing
Le MFA bombing n’est pas théorique. Plusieurs attaques majeures ont déjà exploité cette méthode. Par exemple, des employés peuvent recevoir une avalanche de notifications sur une application d’authentification. Fatigués, certains peuvent valider par erreur, ouvrant un accès au SI pour voler des données ou lancer des attaques de phishing internes.
Même chose pour des clients de banques et/ou services financiers. Une seule validation accidentelle permettait le transfert frauduleux de fonds. Pour des entreprises, des cas réels ont été par exemple recensés en 2022 : Uber et Cisco ont reconnu avoir subi des attaques par MFA Bombing. Des salariés, harcelés par des centaines de requêtes, ont fini par céder.
Ces incidents rappellent qu’aucune entreprise, quelle que soit sa taille, n’est à l’abri.
Comment se protéger du MFA Bombing ?
Pour les utilisateurs
- Ne jamais valider une notification MFA non sollicitée, même répétitive.
- Vérifier l’origine de la demande via un canal officiel (appel IT, ticket interne).
- Signaler immédiatement toute activité suspecte à l’équipe sécurité.
- Changer le mot de passe du compte ciblé si une tentative est suspectée.
Utiliser des méthodes MFA plus robustes
Comme tous les outils essentiels de cybersécurité, le MFA, l’un des plus basiques mais des plus importants, évolue constamment pour faciliter l’expérience utilisateur. Ils peuvent être renforcés par des mécanismes plus sûrs, comme :
- les clés de sécurité matérielles (YubiKey, Titan Security Key) : nécessitent une action physique, donc impossibles à spammer.
- Codes TOTP (Google Authenticator, Authy) : génèrent un code temporaire localement, limitant le risque d’abus.
- MFA biométrique : combine reconnaissance faciale ou empreinte digitale avec une validation logicielle.
Pour les entreprises
- Limiter le nombre de notifications MFA : paramétrer des seuils anti-spam (ex. 3 tentatives par minute maximum).
- Mettre en place des alertes automatiques : blocage des adresses IP suspectes après plusieurs échecs.
- Former les employés : renforcer la vigilance et instaurer des réflexes simples (“je ne valide que les connexions que j’initie”).
- Déployer des solutions MFA avancées :
- MFA adaptatif : ajoute des critères de contexte (heure, géolocalisation, appareil).
- FIDO2/WebAuthn : privilégie les clés physiques et l’authentification biométrique.
Une entreprise bien équipée, bien formée et bien gouvernée réduit considérablement sa surface d’attaque.
Que faire en cas de MFA Bombing ?
Si vous êtes victime d’un MFA bombing, il est crucial d’agir vite :
- Ne validez jamais la demande, même sous la pression.
- Changez immédiatement votre mot de passe (car il a été trouvé).
- Contactez votre support IT pour bloquer les tentatives.
- Analysez les logs d’accès pour identifier une éventuelle compromission.
- Adoptez une méthode MFA plus robuste (clé physique, biométrie, TOTP).
Suite à une attaque, chaque minute compte pour éviter une escalade vers une compromission complète du SI.
Évolution des attaques et tendances à venir
Les attaques par MFA bombing se perfectionnent. Les cybercriminels, en plus d’outils de plus en plus perfectionnés et accessibles, utilisent désormais des techniques hybrides combinant phishing et MFA Fatigue. Exemple : un faux appel d’un “technicien IT” incitant la victime à valider une notification pour “réinitialiser son compte”.
Ces attaques, parfois automatisées, exploitent le facteur humain à grande échelle via des bots, ciblant en priorité les entreprises utilisant des solutions MFA basées sur des notifications push.
Mais même les réglementations comme le RGPD ou la directive NIS2 encouragent les entreprises à renforcer leurs protections, comme nous le disions, sans formation des utilisateurs et solutions adaptées, la faille humaine reste une constante.
Conclusion : vers une authentification plus intelligente
Le MFA bombing illustre parfaitement les limites des mécanismes d’authentification classiques : même les solutions de sécurité peuvent être retournées contre les utilisateurs.
Les entreprises doivent désormais aller vers une authentification plus contextuelle et adaptative, intégrant le comportement, l’appareil ou la localisation dans le processus de vérification.
Pour préparer cette transition, découvrez notre article sur l’avenir de l’authentification IAM.
L’avenir de la cybersécurité ne réside pas seulement dans la technologie, mais dans l’équilibre entre protection, expérience utilisateur et éducation.
Ervin MÜTZENBERG
Ervin MÜTZENBERG, consultant IAM chez SkillX
