En quatre ans, le vishing est passé d'une technique annexe de social engineering à la principale porte d'entrée des compromissions majeures. Cushman & Wakefield le 1er mai, Instructure quelques jours plus tard, et avant eux MGM, Caesars, Snowflake, TransUnion. À chaque fois, le même schéma : un coup de téléphone, un humain qui doute, un MFA contourné. Le problème n'est plus technique. Il est devenu organisationnel.

CYBERSÉCURITÉ GÉNÉRALE Vishing 2026 : pourquoi votre MFA ne vous sauvera plus 📌 Ce que dix ans de durcissement 🔹 L'industrialisation par… 🔸 Le mythe du MFA résistant au… 🔺 Le helpdesk : l'angle mort… Les chantiers concrets à lancer… ayinedjimi-consultants.fr

Ce que dix ans de durcissement n'ont pas anticipé

Pendant une décennie, l'industrie de la cybersécurité a investi massivement dans le durcissement technique. EDR sur les postes, segmentation réseau, MFA partout, gestion des secrets, zero trust à toutes les sauces. Les attaquants opportunistes qui frappaient les portes mal verrouillées ont vu leur efficacité chuter. Les rapports annuels de Mandiant, CrowdStrike et Verizon DBIR montrent tous la même tendance jusqu'en 2023 : le coût technique d'une intrusion réussie a augmenté, le temps de présence avant détection a diminué.

Sauf qu'entre temps, les groupes les plus sophistiqués ont compris que la porte d'entrée la moins durcie restait l'humain. Pas l'humain qui clique sur un lien dans un email — celui-là, on l'a entraîné à se méfier — mais l'humain qui décroche son téléphone et entend une voix professionnelle, pressée, légèrement embarrassée, qui prétend avoir un problème urgent. Cette voix-là, on ne l'a pas entraînée à la déconstruire. Et c'est par là que les attaques majeures de 2026 sont entrées.

L'industrialisation par Scattered Spider puis ShinyHunters

La technique n'est pas nouvelle. Les premières opérations sérieuses remontent à 2022, avec les compromissions de Twilio et Cisco qui exploitaient déjà du vishing combiné à du push fatigue MFA. Ce qui a changé, c'est l'industrialisation. Scattered Spider, le collectif anglophone à l'origine des coups portés contre MGM et Caesars en 2023, a publiquement détaillé sa méthodologie après les arrestations partielles de 2024. Le schéma est devenu un manuel opérationnel : reconnaissance OSINT sur LinkedIn pour identifier les profils support et helpdesk, scripts d'appel répétables, gestion des escalades vers les opérateurs MFA, exfiltration immédiate via les outils légitimes du SaaS ciblé.

ShinyHunters a repris ce playbook en 2025 et l'a étendu aux écosystèmes Salesforce, ServiceNow et Workday. La fuite Cushman & Wakefield de cette semaine n'est qu'un cas parmi une vingtaine d'incidents similaires en cours d'exploitation simultanée sur leurs canaux d'extorsion. Le ROI est exceptionnel : un attaquant entraîné peut compromettre une cible majeure en moins de quatre heures d'appels, contre plusieurs semaines pour développer et déployer un exploit technique équivalent.

Le mythe du MFA résistant au phishing

L'industrie a longtemps répondu au social engineering par le MFA. Ajouter un second facteur, c'était fermer la porte. Sauf que le MFA SMS est mort depuis longtemps, le MFA push subit le push fatigue, et même les OTP TOTP se transmettent par téléphone si l'opérateur d'appel est convaincant. Le seul facteur qui résiste vraiment au vishing, c'est FIDO2 et les Passkeys, parce que la cryptographie est liée au domaine cible et qu'un attaquant qui détourne la session ne peut pas convaincre l'utilisateur de signer une assertion pour un domaine autre que le sien.

Sauf que l'adoption des Passkeys en entreprise reste marginale en 2026. Les rapports d'Okta indiquent que moins de 12 % des comptes administrateurs sur leur plateforme sont protégés par un facteur résistant au phishing. Les autres reposent encore sur des facteurs manipulables : push, OTP, ou pire, validation par le helpdesk en cas de perte de facteur. Et c'est précisément ce dernier point qui devient le maillon le plus exploité.

Le helpdesk : l'angle mort organisationnel

Le scénario qui se répète dans toutes les compromissions récentes est le suivant. Un attaquant appelle le helpdesk en se faisant passer pour un salarié interne, prétend avoir perdu son téléphone ou son token, demande une réinitialisation du MFA. Si le helpdesk valide, l'attaquant enrôle son propre facteur sur le compte cible et accède aux ressources avec le bénéfice du MFA. Tous les contrôles techniques sont alignés en sa faveur : la connexion est conforme, le facteur est légitime, l'utilisateur est authentifié.

Le problème, c'est que la grande majorité des helpdesks n'appliquent pas de vérification hors-bande sérieuse. Une question de sécurité prédéfinie ? Trouvable sur LinkedIn ou Facebook. Une confirmation par email ? L'attaquant a déjà compromis ou redirigé l'email. Un rappel sur le numéro RH ? Encore faut-il que ce numéro soit à jour, et que le helpdesk respecte effectivement la procédure même quand le demandeur insiste sur l'urgence. Dans les retours d'incident que j'ai consultés sur les six derniers mois, l'opérateur du helpdesk a quasiment toujours documenté qu'il a senti quelque chose de bizarre — mais a procédé quand même, pressé par le ton de l'appel et la chaîne hiérarchique simulée.

Mon avis d'expert

Les RSSI qui me consultent en 2026 me parlent encore principalement de stack technique : EDR, SIEM, segmentation, vulnerability management. Je n'ai rien contre, ces briques sont nécessaires. Mais elles ne protègent plus contre la vague d'attaques qui frappe les écosystèmes SaaS via le helpdesk. La vraie priorité aujourd'hui, c'est de réinventer les procédures de support : vérification hors-bande systématique avec une question dont seul le vrai salarié connaît la réponse, deuxième validation par un autre opérateur pour toute opération sensible, et entraînement régulier des équipes helpdesk au refus poli mais ferme face à la pression. Coût : faible. Impact : majeur. Pourtant c'est ce que je vois le moins mis en place dans les missions.

Les chantiers concrets à lancer maintenant

Premier chantier : passer en revue exhaustive les procédures de votre support interne et de votre helpdesk externalisé. Combien d'opérations sensibles — reset MFA, déblocage de compte, transmission de mot de passe initial — sont aujourd'hui réalisées sur la seule base d'un appel téléphonique ? Pour chacune, définir une procédure de vérification hors-bande qui ne dépend pas de l'appel en cours. Le rappel sur un numéro inscrit dans le SIRH, validé par le manager direct, reste la meilleure pratique observée.

Deuxième chantier : déployer un facteur résistant au phishing au minimum sur les comptes à fort privilège. Administrateurs IT, équipes finance, dirigeants. Les Passkeys ou FIDO2 sont disponibles sur la quasi-totalité des fournisseurs SaaS modernes. La résistance au vishing n'est plus optionnelle pour ces profils.

Troisième chantier, le plus négligé : entraîner les équipes helpdesk au refus. Pas seulement à détecter le faux profil, mais à dire non quand quelque chose ne va pas, même face à un appelant qui insiste, qui menace, qui prétexte une urgence dirigeante. Cette compétence ne s'acquiert que par la mise en situation répétée, idéalement avec des appels simulés par un prestataire externe. C'est exactement le type de prestation qu'on n'ose pas budgéter parce que ça paraît anecdotique — et c'est exactement ce qui aurait évité la majorité des compromissions citées dans cet article.

Conclusion

Le vishing en 2026 n'est plus une technique exotique. C'est devenu le vecteur dominant pour les compromissions à fort impact, parce qu'il exploite la zone grise organisationnelle que personne n'a vraiment couverte. Le durcissement technique a marché — l'attaque s'est déplacée. La réponse rationnelle aujourd'hui, c'est d'investir massivement sur les procédures de support, le facteur résistant au phishing, et l'entraînement des équipes au refus. Le coût est ridicule comparé aux conséquences d'une compromission Salesforce dumpée publiquement. Le problème, c'est que ça ne se vend pas aussi bien qu'une licence EDR.

Besoin d'un regard expert sur votre sécurité ?

Discutons de votre contexte spécifique.

Prendre contact

📎 Articles complémentaires

Vishing 2026 : anatomie des attaques MFA helpdesk

Le vishing (voice phishing) est devenu la technique d'ingénierie sociale la plus efficace pour contourner le MFA. La raison est simple : les attaquants ont compris que le maillon faible n'est pas la technologie — c'est le processus de support. Un helpdesk formé à "aider rapidement les utilisateurs" est par définition vulnérable à une attaque qui simule un utilisateur en difficulté.

Le schéma d'attaque vishing MFA helpdesk — Étape par étape

Voici la séquence type d'une attaque vishing ciblant un helpdesk pour contourner le MFA, telle qu'observée dans les incidents récents (Cushman & Wakefield, Instructure, MGM, Caesars) :

  1. OSINT préalable : l'attaquant collecte des informations sur la cible (nom complet, poste, département, numéro de badge, adresse email) depuis LinkedIn, les annuaires d'entreprise, les réseaux sociaux. Ce travail de reconnaissance prend 30 à 60 minutes pour un profil LinkedIn bien renseigné.
  2. Préparation du script : l'attaquant prépare son scénario (voyage d'affaires, changement de téléphone, urgence opérationnelle) en s'appuyant sur les informations collectées pour paraître authentique. Les outils IA de clonage de voix (ElevenLabs, utilisé dans des attaques documentées) permettent de simuler une voix familière.
  3. Appel au helpdesk : l'attaquant se fait passer pour l'employé ciblé et demande une réinitialisation de MFA ou un accès de secours. Il fournit les informations personnelles collectées pour "vérifier son identité".
  4. Contournement du MFA : si le helpdesk n'a pas de procédure robuste de vérification d'identité hors-bande, il réinitialise le MFA ou envoie un lien de récupération à une adresse email temporaire fournie par l'attaquant.
  5. Accès initial et propagation : avec les credentials de l'employé ciblé et un MFA sous contrôle, l'attaquant accède à la messagerie, aux VPN, aux applications métier. La phase de reconnaissance interne commence.

Pourquoi le MFA ne suffit pas : la faille du processus de support

Le MFA est une mesure de sécurité solide contre les attaques automatisées et le credential stuffing. Il ne protège pas contre les attaques qui ciblent le processus de contournement du MFA lui-même. Cette distinction est fondamentale :

  • Un MFA correctement implémenté résiste à un attaquant qui a volé un mot de passe
  • Un MFA est contourné par un attaquant qui convainc le helpdesk de le désactiver
  • Un MFA est contourné par un attaquant qui utilise une attaque OTP relay en temps réel (fatigue MFA push)
  • Un MFA basé sur TOTP ou push est contourné par un SIM swapping si la récupération est liée au SMS

La seule protection robuste contre le vishing helpdesk est une procédure de vérification d'identité hors-bande qui ne peut pas être jouée par un attaquant possédant des informations OSINT basiques.

Procédures de vérification d'identité robustes pour le helpdesk

Voici les mesures concrètes qui réduisent significativement le risque de compromission par vishing helpdesk :

  • Rappel sur le numéro professionnel officiel : pour toute demande de réinitialisation de MFA, le helpdesk rappelle systématiquement le demandeur sur son numéro officiel enregistré dans l'annuaire de l'entreprise (pas le numéro fourni lors de l'appel entrant). Un attaquant ne peut pas contrôler le numéro de téléphone de l'employé légitime.
  • Questions de vérification hors OSINT : les questions de vérification ne doivent pas être des informations disponibles publiquement (numéro de badge, poste, département). Utilisez des codes de sécurité personnels définis lors de l'embauche, des informations sur les projets actuels, ou des informations sur les collègues directs — des informations qu'un attaquant externe ne peut pas facilement obtenir.
  • Validation manager pour les demandes sensibles : toute réinitialisation de MFA ou demande d'accès de secours doit être validée par le manager direct de l'employé concerné, via un canal de communication séparé. Cette validation croisée bloque la grande majorité des tentatives vishing.
  • Délai de grâce et monitoring : après une réinitialisation de MFA, activez une surveillance renforcée du compte pendant 24 à 48 heures. Alertez le manager et le RSSI. Vérifiez les premières connexions — géolocalisation, device, heure.

Formation des équipes helpdesk : ce qu'elle doit couvrir

La formation anti-vishing du helpdesk est plus efficace quand elle est pratique plutôt que théorique. Voici ce que la formation doit couvrir :

  • Simulations d'appels vishing réalistes avec des scénarios variés (urgence, autorité, familiarité)
  • Pratique des procédures de vérification hors-bande jusqu'à ce qu'elles deviennent automatiques
  • Clarté sur le droit de refuser une demande douteuse sans crainte de conséquences — la culture "on doit aider les utilisateurs" est la principale vulnérabilité
  • Procédure d'escalade en cas de doute — à qui signaler une tentative suspecte, comment, dans quel délai

Foire aux questions — Vishing et sécurité helpdesk

Le MFA résistant au phishing (FIDO2/WebAuthn) protège-t-il contre le vishing ?

FIDO2/WebAuthn protège contre les attaques OTP relay et la fatigue MFA push, mais ne protège pas contre le vishing qui cible le processus de support plutôt que le protocole d'authentification. Si un attaquant convainc votre helpdesk de désactiver le MFA FIDO2 d'un compte et d'enregistrer une nouvelle clé sous son contrôle, le protocole lui-même ne peut rien. La robustesse du processus de support est la seule défense contre cette catégorie d'attaque.

Comment détecter qu'un compte a été compromis via vishing ?

Les signaux d'alerte post-vishing à surveiller : connexion depuis un device ou une localisation inhabituels immédiatement après une réinitialisation de MFA, changement des informations de récupération du compte (email, téléphone de secours), transferts d'emails vers des adresses externes, accès à des fichiers ou systèmes inhabituels pour l'employé concerné. Un SIEM avec des règles de corrélation entre les événements helpdesk (réinitialisation MFA) et les événements d'authentification permet de détecter ces patterns rapidement.