AiTM

Ce qu’est une attaque AiTM

AiTM (Adversary-in-the-Middle) est l’évolution moderne du phishing. Au lieu de simplement cloner une page de connexion pour voler un mot de passe, l’attaquant déploie un proxy transparent (souvent via le framework open source Evilginx) qui :

1. Présente à la victime une page de connexion réellement branchée sur le vrai service.
2. Capture en temps réel le couple identifiant / mot de passe et déclenche le MFA légitime sur le téléphone de la victime.
3. Une fois la victime authentifiée avec succès, le proxy intercepte le cookie de session émis par le service.
4. L’attaquant utilise immédiatement ce cookie depuis sa propre machine — il est authentifié, MFA validée incluse, sans alerte particulière.

Pourquoi c’est dangereux

Les MFA par SMS, par TOTP (Google Authenticator, Microsoft Authenticator par code), et même par push notification (avec « Approve » simple), sont toutes contournables par AiTM. Seules les MFA cryptographiques liées au domaine (FIDO2 / WebAuthn / clés de sécurité physiques) résistent — parce qu’elles vérifient l’identité du serveur, pas seulement celle de l’utilisateur.

Indices de compromission

• Connexion réussie depuis un pays inattendu juste après une session légitime.
• Création de règles de boîte mail invisibles (move to RSS Feeds, archive…).
• Token d’application OAuth émis sans intervention récente de l’utilisateur.
• Désactivation de méthodes MFA ou ajout d’un nouveau facteur.

Comment se protéger

• MFA résistant au phishing obligatoire pour les comptes à privilèges. Voir MFA.
• Conditional Access avec posture device, géolocalisation, risque utilisateur.
• Token Protection quand disponible (Microsoft, Okta) pour lier le cookie à l’appareil.
• Surveillance EDR/XDR des sessions et des règles de boîte mail créées hors interface — voir Hexceos Sentinel.

AiTM chez Hexceos

Voir notre cas client forensique BEC qui détaille un AiTM réel et son traitement.