Blog

Salty2FA : le kit de phishing qui contourne la MFA (et comment s’en protéger)

 

Découvert à l’été 2025, Salty2FA est un phishing-as-a-service (PhaaS) conçu pour intercepter en temps réel les identifiants et les facteurs 2FA (codes OTP/TOTP, SMS, push) en proxifiant le parcours d’authentification. Cet article explique le fonctionnement du kit, les signaux de détection et les mesures concrètes à appliquer — en particulier dans Microsoft 365.

 

Qu’est-ce que Salty2FA ?

Salty2FA est un kit de phishing modulaire utilisé par des acteurs malveillants pour industrialiser des campagnes ciblées contre des comptes d’entreprise. Il s’appuie sur :

  • un reverse proxy qui relaie les échanges entre la victime et le fournisseur d’identité (ex. Microsoft),
  • des pages d’hameçonnage soignées, hébergées derrière des domaines « crédibles »,
  • des mécanismes d’évasion (multi-étages, anti-analyse, rotation d’infra),
  • la capture des cookies/jetons de session pour maintenir l’accès même après la MFA.

 

Comment Salty2FA contourne la MFA

  1. Proxy temps réel : l’utilisateur saisit ses identifiants et son code 2FA sur une page piégée ; le proxy passe-plat la séquence au fournisseur légitime, tout en capturant secrets et jetons.
  2. Hébergement « de confiance » : le leurre s’appuie sur des domaines/plateformes perçus comme fiables pour déjouer filtres et soupçons.
  3. Multi-étages & évasion : redirections, cloaking, détection d’environnements d’analyse pour rester undetected.
  4. MFA multiples visées : OTP/TOTP, SMS, push (incluant le push fatigue), voire accaparement de session.

 

Qui est visé ?

Campagnes observées contre des comptes d’entreprise (Nord-Amérique & Europe), avec un focus sur Microsoft 365 et des secteurs à forte valeur (finance, télécom, énergie, santé, industrie). Toute organisation reposant sur une MFA classique (OTP/SMS/push) est exposée si le parcours peut être proxifié.

Signaux de détection & indicateurs

  • Identité & sessions : connexion impossible à reproduire par l’utilisateur, device fingerprint incohérent, activité immédiate après MFA depuis une autre IP, création d’app passwords ou consentements OAuth inattendus.
  • Réseau & DNS : domaines récents/éphémères, chaînes de redirection, hébergeurs à rotation rapide.
  • Messagerie : emails brandés Microsoft 365 (quota, partage, SSO), expéditeurs compromis, liens vers pages de connexion clonées.

 

Parades prioritaires (Microsoft 365 & autres)

  • Passer à des facteurs résistants au phishing : FIDO2/Passkeys (liées au domaine, non proxifiables) pour admins, VIP et comptes sensibles. Désactiver SMS/appels si possible, activer number-matching pour les push restants.
  • Durcir l’accès conditionnel : exiger device compliant/hybrid-joined pour les ressources clés ; limiter Sign-in frequency, Idle timeout, Token lifetime ; activer CAE pour invalider vite les jetons.
  • Réduire la surface d’attaque d’identité : bloquer Basic/Legacy Auth, limiter l’auto-enregistrement d’applis et le consentement utilisateur, imposer l’approbation admin pour les permissions élevées.
  • Renforcer la messagerie : sandboxing d’URL, détection de lookalike domains, DMARC/DKIM/SPF (hygiène nécessaire mais pas suffisant contre le proxy).
  • Détection & réponse : alertes sur connexions improbables, changements MFA, nouveaux OAuth ; playbooks SOAR pour révoquer tokens/sessions, reset mots de passe, ré-enrôler MFA.

 

Mini-playbook incident

  1. Couper : révoquer tokens/refresh tokens, invalider les sessions actives.
  2. Réinitialiser : mot de passe + ré-enrôlement MFA (viser FIDO2/Passkeys).
  3. Auditer : applis OAuth, app passwords, règles de boîte, transferts, délégués.
  4. Traquer : IP/indicateurs corrélés (CASB/SIEM), activités inhabituelles (Teams/SharePoint/OneDrive).
  5. Durcir : étendre Conditional Access, bloquer méthodes héritées, imposer device trust.
  6. Communiquer : consignes aux équipes, utilisateurs impactés, revue globale.

 

En résumé

La MFA « classique » réduit le risque, mais des kits comme Salty2FA montrent ses limites face au phishing par proxy. La parade : FIDO2/Passkeys + politiques d’accès robustes + surveillance des signaux d’identité/réseau + formation ciblée.

 

 

Références

  • Dark Reading – « Salty2FA Takes Phishing Kits to Enterprise Level », 9 sept. 2025.
  • The Hacker News – « Watch Out for Salty2FA », 10 sept. 2025.
  • CSO Online – « Phishing kit Salty2FA washes away confidence in MFA », 9 sept. 2025.
  • Ontinue – « Salty2FA: Multi-Stage Evasion in Modern Phishing », 3 sept. 2025.
  • Lumifi Cyber – « Salty 2FA Phishing Kit Targeting Microsoft 365 », 19 sept. 2025.

 

Besoin d’aide ?

 

Je peux auditer vos parcours d’authentification, déployer Passkeys/FIDO2, configurer vos politiques Microsoft 365 et industrialiser la détection (SIEM/SOAR).

 

Me contacter →