“Adversary in the middle” : une menace croissante dans le secteur de la santé

Depuis le début de l’année 2026, le démantèlement de certaines plateformes de phishing majeures, comme Typhoon 2FA, a entraîné un changement de l’écosystème criminel. De nouveaux outils, comme Tycoon2FA et Sneaky2FA, ont émergés en tant qu’acteurs majeurs du monde du Phishing as a Service (PhaaS) dans les campagnes visant les environnements cloud, en particulier Microsoft 365.

Cette évolution traduit une industrialisation plus facile des attaques, les rendant accessible à un grand nombre d’acteurs.

Les attaques observées reposent sur la mise en place d’une infrastructure malveillante entre la victime et le service légitime. Lorsque l’utilisateur accède à une page frauduleuse, celle-ci affiche le contenu du service réel tout en interceptant les échanges.

Au moment de la connexion, les identifiants et les étapes de validation multi-facteurs sont d’abord capturés. Ensuite, ces derniers sont utilisés par l’attaquant de manière automatique sur le service. Une fois l’authentification faite, les jetons de session générés sont récupérés, pouvant ensuite être réutilisés par l’attaquant pour accéder au compte. L’exploitation de ces comptes légitimes peut également faciliter la propagation à l’intérieur d’une organisation.

Pour amener les victimes sur ces infrastructure malveillantes, les campagnes s’intègrent dans des usages professionnels crédibles, en s’appuyant sur des emails imitant par exemple des notifications d’outils collaboratifs comme Microsoft Teams ou des partages de documents. 

Un élément marquant est l’utilisation des QR codes comme vecteur d’attaque. Certains emails en contiennent, redirigeant la victime vers l’infrastructure de phishing. Ce mécanisme permet de contourner les contrôles classiques appliqués aux liens et de déplacer l’action malveillante vers une interaction visuelle.

Les acteurs du secteur de la santé sont exposés à cette menace en raison de la sensibilité des informations accessibles avec un compte utilisateur, pouvant attirer les acteurs malveillants. La compromission d’un compte utilisateur peut ainsi entraîner un accès direct à des données à caractère médical ou administratif, ainsi qu’à des documents sensibles. 

Au-delà de ces accès, ces attaques exposent les organisations à un risque accru de violation de données de santé à caractère personnel, avec des implications majeures au regard du RGPD. Elles peuvent également engendrer des perturbations opérationnelles, notamment en cas d’accès aux systèmes d’information hospitaliers (SIH) et aux outils métiers critiques, impactant potentiellement la continuité des activités. 

L’essor des attaques de phishing de type AiTM marque une évolution du paysage de la menace. Dans le secteur de la santé, ces dernières doivent être considérées comme prioritaire en raison de l’impact potentiel sur les données sensibles.

Dans ce contexte, il apparaît nécessaire de compléter les dispositifs existants par des mécanismes d’authentification résistants au phishing, comme des solutions basées sur le standard FIDO2, permettant de limiter l’exploitation des attaques par interception de session. La solution la plus intéressante est l’utilisation de passkeys, en raison de leur expérience utilisateur fluide et leur conformité FIDO2. Cette approche doit être complétée par une capacité accrue de détection des anomalies de session, comme les scénarios de réutilisation de jetons de session. Enfin la sensibilisation des utilisateurs doit évoluer pour intégrer ces nouveaux modes opératoires.