Le MFA ne protège pas les sessions déjà actives — seule leur révocation contient une compromission en cours

Ce qu’il faut retenir

Le MFA est une protection à l’entrée, pas une protection continue. Un attaquant qui vole un token de session valide contourne le MFA par définition — il n’a pas besoin de s’authentifier.

En réponse à incident, la révocation active de toutes les sessions (pas seulement la réinitialisation du mot de passe) est le seul moyen de couper l’accès à un attaquant qui a capturé des tokens de session. Réinitialiser un mot de passe sans invalider les sessions existantes ne change rien à une compromission en cours.

Illustrations

Cas 1 : Axios / UNC1069 — session hijacking npm (2026)

Ce qui s’est passé : Le RAT installé via le faux Teams a capturé les credentials npm et les tokens de session déjà authentifiés sur la machine du mainteneur. Les attaquants ont utilisé ces sessions actives pour publier les versions malveillantes d’Axios directement — sans avoir à s’authentifier à nouveau, donc sans déclencher de challenge MFA. Le MFA du compte npm était actif mais inutile : la session était déjà ouverte.

Pourquoi c’est arrivé : Le MFA protège le moment de l’authentification initiale. Une fois la session établie, le token de session est la seule barrière. Si ce token est volé (via un infostealer ou un RAT), l’attaquant hérite de la session authentifiée sans avoir besoin du second facteur.

Conséquences : Publication de packages malveillants sous l’identité légitime du mainteneur, sans aucune alerte d’authentification suspecte. La compromission était invisible jusqu’à la détection du contenu malveillant.

Cas 2 : CanisterWorm — Aqua Security (2026)

Ce qui s’est passé : L’attaquant a utilisé un jeton GitHub volé (sans expiration) pour maintenir son accès malgré deux tentatives de révocation par Aqua. Même logique : le jeton actif suffisait, aucune ré-authentification requise.

Pourquoi c’est arrivé : Absence d’inventaire des jetons actifs — la révocation était partielle.

Conséquences : Fenêtre de compromission étendue inutilement malgré deux rotations.

Articles liés

• Axios npm hack — BleepingComputer — angle : post-mortem, détail sur le bypass MFA via session hijacking

Principes liés

• Changer ses secrets après un incident ne suffit pas sans inventaire complet
• Un jeton aux droits illimités sans supervision permet une compromission totale et silencieuse
• Compromettre un mainteneur de package populaire revient à compromettre tous les projets qui en dépendent