Attention au phishing AiTM : Tycoon2FA contourne le MFA et prend le contrôle des comptes en quelques secondes

Tycoon2FA, c’est le genre de saleté qui te fait douter de tout ce qu’on t’a vendu sur le MFA. Pas parce qu’il “casse” le second facteur, non. Il le contourne en temps réel, en se plaçant entre toi et le vrai service, et en récupérant le truc qui compte vraiment: ta session déjà authentifiée.

Tycoon2FA relègue le MFA au second plan : le kit de phishing qui vole ta session en direct

Le scénario est presque banal: tu reçois un mail, tu cliques, tu arrives sur une page Microsoft 365 ou Gmail qui a l’air nickel, tu valides le code ou la notif, et tu continues ta journée. Sauf que derrière, Tycoon2FA a aspiré tes identifiants et surtout ton cookie de session. Résultat, l’attaquant se connecte comme toi, sans retaper le MFA, et parfois même après un changement de mot de passe si personne ne révoque les sessions actives.

Tycoon2FA, c’est du phishing en mode “service client”

On parle d’un kit vendu comme une plateforme, pas d’un script bricolé dans un coin. Tycoon2FA tourne avec un panneau d’administration web où l’opérateur gère ses campagnes: choix des modèles, réglages d’hébergement, domaines, logique de redirection, suivi des victimes. Tu vois le tableau: tu payes, tu te connectes, tu pilotes. Le phishing devient un produit, avec une interface et des options.

Le détail qui change tout, c’est l’accessibilité. Le panneau centralise les fonctions nécessaires pour lancer des campagnes, ce qui ouvre la porte à des profils moins techniques. Pas besoin d’être un as du reverse proxy pour démarrer. Et les plus expérimentés y trouvent quand même leur compte, parce que la plateforme reste flexible: plusieurs pages, plusieurs domaines, plusieurs campagnes qui tournent en parallèle.

Tycoon2FA s’est fait remarquer dès août 2023 et il a vite pris de l’ampleur. Le volume observé cette année-là et après a explosé au point d’en faire un des outils AiTM les plus déployés sur les comptes “identité” du quotidien pro: Microsoft 365, Gmail, et tout ce qui gravite autour. Il y a même des trackers d’incidents qui le mettent en tête, avec plus de 64 000 incidents signalés sur l’année dans leurs remontées.

Le truc c’est que ce modèle “phishing-as-a-service” change la dynamique. Avant, un groupe montait son kit, l’utilisait, se faisait griller, recommençait. Là, tu as une base commune, maintenue, mise à jour, et louée. Quand une technique marche, elle se diffuse vite. Quand une défense apparaît, la plateforme s’adapte, et tout le monde en profite. C’est l’industrialisation, version cybercrime.

Pourquoi ton MFA ne te sauve pas face à l’AiTM

Tycoon2FA ne “défait” pas le MFA, il s’en sert. Son approche adversary-in-the-middle repose sur un reverse proxy: une fausse page de connexion se place entre toi et le vrai service. Tu tapes ton identifiant, ton mot de passe, tu valides ton code ou ta notif MFA, et le kit relaie tout en direct vers Microsoft ou Google. Toi, tu crois juste te connecter normalement.

Au moment où tu valides, le service légitime génère une session authentifiée. Et c’est là que Tycoon2FA fait son marché: il capture les jetons d’authentification, surtout les cookies de session. Une fois qu’un attaquant a ça, il n’a plus besoin de ton MFA pour entrer. Il “rejoue” la session, comme s’il avait ton navigateur dans la poche. Pas de brute force, pas de malware obligatoire, juste une session volée.

Le plus vicieux, c’est le ressenti côté victime. Souvent, rien ne cloche: la page est crédible, la redirection a l’air normale, tu arrives sur ta boîte mail ou ton portail. Tu ne vois pas l’instant où ta session est copiée. Et côté attaquant, c’est propre: il récupère une session déjà validée, ce qui réduit les alertes liées aux tentatives de connexion ratées.

Dans les campagnes décrites, Tycoon2FA est capable de relayer à peu près tous les MFA “classiques”: SMS, codes à usage unique, push notifications. C’est pour ça que les discours du type “active le MFA et tu es tranquille” sonnent faux. Le MFA reste utile contre plein d’attaques, mais contre l’AiTM, il faut d’autres couches: vérification du contexte, résistance au phishing, et gestion sérieuse des sessions.

Microsoft 365, Gmail: les pages copiées au pixel près

Tycoon2FA vise les services qui ouvrent toutes les portes: Microsoft 365, OneDrive, Outlook, SharePoint, Google Workspace, Gmail. Normal: quand tu tiens la messagerie et le stockage, tu tiens souvent le reste. Une boîte mail compromise, c’est des factures, des conversations RH, des liens de réinitialisation de mots de passe, des accès à des outils métiers. Le jackpot, sans forcer.

Les opérateurs peuvent usurper des marques de confiance en mimant les écrans de connexion. Et ils ne se contentent pas d’une page statique: l’intérêt du proxy, c’est que l’échange avec le vrai service se fait en direct. Donc l’expérience utilisateur “colle” au réel. Tu vois les bons champs, les bons écrans MFA, parfois même les bons textes d’erreur. Pour un salarié pressé, c’est plié.

Les campagnes décrites s’appuient sur une chaîne d’attaque classique mais efficace: hameçonnage par email, redirections en cascade, page de connexion usurpée, relais AiTM, puis vol de jetons. Le multilayer redirect, c’est un vieux truc, mais ça sert encore: ça complique l’analyse, ça filtre certains contrôles, et ça donne l’impression d’un parcours “normal” avec plusieurs étapes.

Et il y a un détail qui fait mal: la persistance. Même si tu changes ton mot de passe après coup, l’attaquant peut garder l’accès si la session active n’est pas révoquée et si les tokens ne sont pas invalidés. Dans des environnements où les équipes IT se contentent de reset le mot de passe et de passer à autre chose, tu laisses une fenêtre ouverte. Ça, Tycoon2FA l’exploite à fond.

CAPTCHA, anti-debug, multi-domaines: la panoplie anti-détection

Tycoon2FA ne mise pas seulement sur la tromperie visuelle. Il embarque aussi des mécanismes pour éviter les analyses et les blocages: CAPTCHA pour filtrer les bots, JavaScript anti-debugging pour compliquer l’inspection manuelle, et une infrastructure qui tourne sur plusieurs domaines avec rotation. L’objectif est simple: rester en ligne, le plus longtemps possible, et épuiser les défenses.

La rotation multi-domaines, c’est la base des campagnes à grande échelle. Tu bloques un domaine, deux autres prennent le relais. Tu neutralises un hébergeur, la campagne repart ailleurs. Et comme la plateforme est pensée pour gérer l’hébergement et la configuration de domaines, tu industrialises cette gymnastique. Pour les défenseurs, ça veut dire du temps, des règles à maintenir, et des équipes qui courent derrière.

Les protections anti-analyse visent aussi les sandboxes et les environnements de test. Si la page détecte un contexte suspect, elle peut bloquer, rediriger, ou afficher autre chose. Du coup, un analyste qui ouvre le lien dans un environnement contrôlé peut ne pas voir la même chose que la victime. C’est bête, mais ça suffit parfois à retarder une détection et à laisser la campagne faire son chiffre.

Il faut aussi parler de l’économie derrière. Le PhaaS a explosé parce qu’il réduit le coût d’entrée: tu loues une plateforme au lieu de la développer. Du coup, tu as plus d’acteurs, plus de campagnes, plus de bruit. Le revers de la médaille, c’est que tout le monde n’est pas “élite”: certains opérateurs font des erreurs, réutilisent des infrastructures, laissent des traces. Pour les défenseurs, c’est une fenêtre, mais il faut être organisé pour l’exploiter.

Ce que tu peux faire lundi matin dans ta boîte

Première mesure concrète: arrêter de croire que le reset mot de passe règle tout. Quand une session cookie a été volée, il faut révoquer les sessions actives et invalider les tokens, sinon l’attaquant peut rester connecté. C’est un réflexe à formaliser: procédure d’incident, check-list, et pas juste “on change le password et on ferme le ticket”.

Deuxième axe: pousser des méthodes MFA plus résistantes au phishing. Tycoon2FA relaye SMS, OTP et push, donc ces options sont les plus exposées dans ce modèle. Ça ne veut pas dire qu’elles sont inutiles, mais qu’elles ne suffisent pas seules. Dans les environnements Microsoft 365 et Google, tu peux renforcer avec des politiques d’accès conditionnel, des contrôles de contexte, et des signaux de risque.

Troisième point, très terre-à-terre: la formation, mais pas en mode affiche dans le couloir. Il faut montrer des exemples de parcours AiTM: la page qui a l’air “vraie”, la validation MFA qui arrive “comme d’habitude”, et le fait que ça peut être déjà trop tard au moment où tu cliques sur “approuver”. Un RSSI que je connais résume ça comme ça: “si tu valides une notif que tu n’as pas déclenchée, tu viens de donner les clés”.

Dernier levier: surveiller ce qui compte. Les connexions impossibles, les changements de device, les sessions anormales, et les accès à des ressources sensibles juste après une authentification. Tycoon2FA vise surtout des comptes d’entreprise, donc la détection doit se faire côté entreprise: logs, alertes, réaction rapide. Et si tu veux être honnête deux minutes, ça demande du budget et du temps humain. Sans ça, tu joues au pompier avec un verre d’eau.