En bref

  • Europol, Microsoft et sept partenaires privés ont saisi 330 domaines et neutralisé Tycoon 2FA, la plateforme PhaaS de contournement MFA la plus utilisée au monde.
  • Active depuis 2023, la plateforme générait 30 millions d'e-mails malveillants par mois, ciblant 500 000 organisations et 100 000 victimes confirmées grâce à une technique de proxy transparent AitM.
  • Les entreprises s'appuyant uniquement sur le MFA TOTP ou les notifications push doivent migrer vers des solutions résistantes au phishing (FIDO2/passkeys) pour se protéger contre ces attaques.

Ce qui s'est passé

Le 23 mars 2026, Europol a annoncé le démantèlement coordonné de Tycoon 2FA, la plateforme de phishing-as-a-service (PhaaS) la plus prolifique jamais documentée en matière de contournement de l'authentification multi-facteurs. L'opération, baptisée en interne "Operation Sable Storm", a réuni Microsoft, Cloudflare, Coinbase, Proofpoint, Intel471, Shadowserver et SpyCloud sous une ordonnance du tribunal fédéral du district sud de New York, permettant la saisie d'environ 330 domaines actifs. Tycoon 2FA opérait comme un service sur abonnement accessible dès 120 dollars pour dix jours d'utilisation. Son architecture reposait sur un proxy inverse transparent de type adversary-in-the-middle (AitM) : lorsqu'une victime cliquait sur un lien de phishing et s'authentifiait normalement — y compris en validant son MFA TOTP ou sa notification push — le proxy interceptait en temps réel le cookie de session authentifiée avant de le transmettre aux attaquants. Ces derniers pouvaient alors rejouer ce cookie sur les services cibles (Microsoft 365, Google Workspace, plateformes bancaires) sans jamais avoir besoin du second facteur. Selon les données de Microsoft, Tycoon 2FA était responsable à lui seul d'environ 62 % de l'ensemble des attaques de phishing avec contournement MFA bloquées par les systèmes de protection Microsoft au second semestre 2025. La plateforme a généré jusqu'à 30 millions d'e-mails malveillants par mois et ciblé plus de 500 000 organisations dans le monde, avec près de 100 000 victimes confirmées ayant subi une compromission de compte. Des saisies d'infrastructure simultanées ont été conduites en Lettonie, Lituanie, Portugal, Pologne, Espagne et Royaume-Uni dans le cadre du programme EMPACT d'Europol. Le développeur principal présumé, identifié sous les pseudonymes "SaaadFridi" et "Mr_Xaad", serait basé au Pakistan ; des procédures civiles et pénales sont en cours contre les opérateurs et les clients à haute valeur de la plateforme.

Cette opération représente une étape majeure dans la lutte contre l'industrialisation du cybercrime. Tycoon 2FA avait réduit la barrière à l'entrée pour les cybercriminels souhaitant compromettre des comptes protégés par MFA à un abonnement de 120 dollars et quelques clics. Le modèle économique de la plateforme — location d'infrastructure, templates de phishing prêts à l'emploi, support client intégré — illustre la maturité du marché cybercriminel as-a-service. Cette tendance est également visible dans d'autres affaires récentes : l'Opération Alice menée par Europol qui avait démantelé 373 000 sites du dark web, ou la démobilisation des botnets IoT DoJ générant 31 Tbps de DDoS.

Pourquoi c'est important

Le démantèlement de Tycoon 2FA invalide définitivement l'idée reçue selon laquelle "activer le MFA suffit à se protéger du phishing". Les techniques AitM démontrent que le MFA classique — TOTP, SMS, notifications push — ne constitue pas un rempart contre les attaques de phishing sophistiquées. Seules les solutions d'authentification résistantes au phishing, c'est-à-dire les clés de sécurité matérielles FIDO2 (YubiKey, Google Titan) et les passkeys cryptographiquement liées au domaine légitime, sont immunisées contre ce vecteur d'attaque. L'opération illustre également l'efficacité du modèle de coalition public-privé : Microsoft, Cloudflare, Intel471 et d'autres ont fourni des données de renseignement sur les menaces qui ont permis à Europol et au DoJ d'obtenir des ordonnances judiciaires rapides pour la saisie de domaines. Pour les RSSI et équipes sécurité, cet événement doit déclencher un audit immédiat des politiques MFA en place, notamment pour les accès à Microsoft 365 et Google Workspace qui constituent les cibles privilégiées des PhaaS. Consultez également notre article sur les techniques de phishing russes ciblant Signal pour un panorama complet des vecteurs d'ingénierie sociale actuels. Pour une vision globale de la menace IA dans l'ingénierie sociale, voir aussi l'incident Meta avec les agents IA autonomes.

Ce qu'il faut retenir

  • Tycoon 2FA prouve que le MFA TOTP et les notifications push ne protègent pas contre les attaques AitM de type phishing-as-a-service — seul FIDO2/passkeys est résistant par design.
  • La plateforme était accessible pour 120 $ : migrer vers FIDO2 est aujourd'hui moins coûteux que les conséquences d'une compromission de compte.
  • Les organisations doivent auditer leurs politiques d'accès conditionnel et activer la détection des sessions token suspectes dans leurs SIEM pour détecter les tentatives de replay de cookies.

Mon MFA protège-t-il vraiment contre les attaques de phishing de type Tycoon 2FA ?

Les méthodes MFA classiques — codes TOTP (Google Authenticator, Authy), SMS et notifications push — ne protègent pas contre les attaques AitM comme celles de Tycoon 2FA, car le proxy intercepte votre session en temps réel après que vous avez validé votre second facteur. Seules les clés FIDO2 (clés physiques ou passkeys) offrent une protection fiable : elles lient cryptographiquement l'authentification au domaine légitime et ne peuvent pas être rejouées par un proxy malveillant. La migration vers FIDO2 doit être une priorité pour tout accès à des services critiques comme Microsoft 365 ou Google Workspace. Consultez la documentation FIDO Alliance pour les ressources d'implémentation.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA — audit MFA, déploiement FIDO2, réponse à incident phishing.

Prendre contact