Fatigue MFA
Attaque d'ingénierie sociale qui sature un utilisateur de notifications push MFA jusqu'à ce qu'il valide par lassitude ou confusion.
La fatigue MFA — aussi appelée push bombing ou bombardement de notifications — est une technique d’ingénierie sociale dans laquelle un attaquant déjà en possession du mot de passe d’une victime déclenche un flot de notifications push d’authentification multifacteur, en espérant que la victime finisse par appuyer sur Approuver pour stopper le bruit ou parce qu’elle suppose le push légitime.
L’intrusion Uber de 2022 reste le cas d’école : un attaquant a acheté les identifiants d’un sous-traitant sur le dark web, a martelé le compte de notifications Duo pendant plus d’une heure, puis a contacté la victime sur WhatsApp en se faisant passer pour le support IT et l’a convaincue d’approuver. À partir de là, l’attaquant a pivoté vers les systèmes internes, Slack et la plateforme bug-bounty. Le schéma a depuis été repris par Lapsus$, Scattered Spider et une part croissante des compromissions identitaires recensées dans le Verizon DBIR.
Propriétés caractéristiques :
- Pré-requis : identifiants volés. Le push bombing ne fonctionne que si l’attaquant peut déjà initier des authentifications. La couche mot de passe a déjà cédé.
- Volume + prétexte. Le spam brut est souvent doublé d’un appel, SMS ou message se faisant passer pour la DSI pour baisser la vigilance.
- Vise le push, pas les codes. Les codes TOTP et clés FIDO2 sont immunisés par construction — il n’y a rien à « approuver ».
- Signal d’heure. Beaucoup d’incidents déclenchent les prompts entre 2 h et 4 h, en pariant sur la confusion.
- Contourne la sensibilisation annuelle. Un module e-learning ne parle pas au collaborateur à 3 h du matin ; c’est l’écart savoir-comportement que l’attaquant monétise.
La hiérarchie des contre-mesures est claire : passer du push simple au number matching, puis aux passkeys / FIDO2, résistants au phishing et au bombing par construction. L’ANSSI et la CISA classent la fatigue MFA parmi les schémas d’attaque identitaires majeurs et recommandent au minimum le number matching. Côté comportement, le réflexe à ancrer est simple — push inattendu = signaler, jamais approuver — et il s’installe par rappels contextuels répétés, pas par une diapo annuelle.
Termes liés
- Authentification multi-facteur (MFA)Schéma d'authentification exigeant au moins deux facteurs indépendants — ce que l'on sait, possède ou est — pour vérifier un utilisateur et renchérir le vol d'identifiants.
- FIDO2 / PasskeysStandards d'authentification ouverts s'appuyant sur la cryptographie asymétrique liée au terminal pour offrir une connexion résistante au phishing — la réponse pratique à la fatigue MFA et au phishing adversary-in-the-middle.
- Ingénierie socialeManipuler une personne — plutôt qu'exploiter une faille logicielle — pour obtenir identifiants, argent ou accès ; la catégorie chapeau dont relèvent phishing, vishing et fraude au président.
- Hameçonnage (phishing)Attaque d'ingénierie sociale qui usurpe l'identité d'un tiers de confiance pour obtenir des identifiants, de l'argent ou un accès — par e-mail, SMS, voix, QR code ou consentement OAuth.