Votre 2FA est une passoire, le sniffeur de WiFi public vous remercie
Introduction : Les attaques Adversary-in-the-Middle contournent la 2FA en usurpant activement les deux côtés de la conversation : l’attaquant crée un faux site bancaire, relaie le code SMS en temps réel au serveur légitime, et capture ainsi la session sans que la victime ne s’en rende compte. Des outils comme Evilginx2 disponibles depuis 2018 permettent à n’importe quel utilisateur de mettre en place ces attaques en 10 minutes, et Microsoft a documenté une campagne ciblant plus de 10 000 organisations depuis 2021. Un VPN avec chiffrement AES-256-GCM protège contre l’interception active et passive sur WiFi public en rendant le trafic illisible, même si l’attaquant contrôle le routeur ou pratique l’ARP spoofing…. Les attaques AiTM ont un super-pouvoir de merde : elles contournent la 2FA. Comment ? Le mec crée un site parfaitement identique à celui de votre banque. Vous cliquez sur le lien du mail de phishing et vous arrivez sur sa copie. Login, mot de passe, et PAF, le code SMS arrive. Vous le rentrez. Sauf que le code passe par le serveur du mec au milieu, qui le relaie en temps réel à la vraie banque. Résultat ? Il a votre session, vos cookies, et il peut se connecter à votre compte pendant des heures sans que vous vous en rendiez compte.