C'est l'une des opérations les plus importantes de l'histoire de la lutte contre la cybercriminalité. Europol, en collaboration avec Microsoft et les forces de l'ordre de six pays européens, a démantelé Tycoon 2FA, la plus grande plateforme de phishing-as-a-service (PhaaS) jamais identifiée. Le bilan est vertigineux : 64 000 attaques documentées, des millions d'e-mails de phishing envoyés chaque mois, plus de 100 000 organisations ciblées dans le monde, et 330 domaines saisis. Mais le plus inquiétant, c'est la technique utilisée : Tycoon 2FA était capable de contourner l'authentification à deux facteurs (MFA), celle-là même que tout le monde vous recommande d'activer.

Interface de phishing sophistiquée imitant une page de connexion Microsoft avec un formulaire de double authentification
Les plateformes de phishing-as-a-service comme Tycoon 2FA permettaient à n'importe qui de lancer des campagnes de phishing sophistiquées pour quelques centaines de francs par mois.

Tycoon 2FA : le supermarché du phishing

Tycoon 2FA n'était pas un simple outil de pirate. C'était une plateforme commerciale complète, vendue comme un service par abonnement sur le dark web. Pour quelques centaines de dollars par mois, n'importe quel cybercriminel — même sans compétences techniques — pouvait accéder à :

  • Des kits de phishing clés en main imitant les pages de connexion de Microsoft 365, Google Workspace, et d'autres services populaires.
  • Un proxy AitM (Adversary-in-the-Middle) capable d'intercepter les codes d'authentification à deux facteurs en temps réel.
  • Des outils de gestion de campagnes avec tableau de bord, statistiques de clics et suivi des victimes.
  • Un support technique et des mises à jour régulières pour contourner les nouvelles protections de sécurité.

Selon les données publiées par Europol, Tycoon 2FA était actif depuis fin 2023 et avait connu une croissance explosive en 2024-2025, devenant la plateforme PhaaS la plus utilisée au monde.

Comment Tycoon 2FA contournait la double authentification

C'est la question que tout le monde se pose : comment une attaque de phishing peut-elle contourner la MFA, ce mécanisme censé nous protéger même si notre mot de passe est compromis ?

La réponse tient en trois lettres : AitM (Adversary-in-the-Middle, ou « adversaire au milieu »). Voici comment ça fonctionne, étape par étape :

  1. La victime reçoit un e-mail de phishing qui l'invite à se connecter à un service — par exemple Microsoft 365. L'e-mail est convaincant, en français parfait, avec les bons logos et la bonne mise en page.
  2. La victime clique sur le lien et atterrit sur une page de connexion qui ressemble exactement à la vraie. Mais cette page est en réalité un proxy contrôlé par l'attaquant.
  3. La victime entre son mot de passe. Le proxy transmet ce mot de passe en temps réel au vrai site de Microsoft.
  4. Microsoft demande le code 2FA. Le proxy affiche cette demande à la victime, qui entre son code (reçu par SMS ou via une application).
  5. Le proxy transmet le code 2FA au vrai site de Microsoft, qui valide la connexion et génère un cookie de session.
  6. L'attaquant capture le cookie de session. Ce cookie est la clé du royaume : il permet de se connecter au compte de la victime sans avoir besoin du mot de passe ni du code 2FA, et ce pendant toute la durée de validité de la session.

Résultat : l'attaquant a un accès complet au compte de la victime. E-mails, fichiers OneDrive, contacts, données d'entreprise — tout est exposé. Et la victime ne s'en rend souvent compte que des jours ou des semaines plus tard, quand des transferts suspects apparaissent ou que des e-mails sont envoyés en son nom. Pour en savoir plus sur les techniques de phishing actuelles, consultez notre article sur le phishing en Suisse en 2026.

L'opération de démantèlement

L'opération coordonnée par Europol a mobilisé les forces de l'ordre de six pays européens (Pays-Bas, Allemagne, France, Belgique, Roumanie et Espagne), en partenariat étroit avec les équipes de sécurité de Microsoft. Comme l'a rapporté Dark Reading, les résultats sont impressionnants :

  • 330 domaines saisis utilisés pour héberger les pages de phishing.
  • Plusieurs arrestations dans différents pays européens.
  • Serveurs d'infrastructure démantelés et bases de données saisies.
  • Des millions de données volées récupérées, permettant d'alerter les victimes identifiées.

Selon The Hacker News, cette opération a porté un coup sévère à l'écosystème du phishing-as-a-service, mais les experts mettent en garde : d'autres plateformes similaires existent déjà et prendront probablement le relais. La nature même du modèle « as-a-service » rend cette menace extrêmement résiliente.

La MFA classique ne suffit plus : place aux passkeys et FIDO2

Le démantèlement de Tycoon 2FA met en lumière une réalité inconfortable : la double authentification classique — par SMS ou par application génératrice de codes — n'est plus une protection suffisante contre les attaques de phishing sophistiquées. Les codes à usage unique peuvent être interceptés en temps réel par un proxy AitM.

Alors, que faire ? La réponse est claire : migrer vers des méthodes d'authentification résistantes au phishing. Deux technologies se distinguent :

Les clés FIDO2 (YubiKey, Titan, etc.)

Les clés de sécurité physiques conformes au standard FIDO2 sont immunisées contre les attaques AitM. Pourquoi ? Parce qu'elles vérifient cryptographiquement l'identité du site web auquel vous vous connectez. Si vous êtes sur un faux site (un proxy de phishing), la clé refuse tout simplement de s'authentifier. Aucun code à intercepter, aucun cookie à voler.

Les passkeys

Les passkeys (clés d'accès) sont la version logicielle du même principe. Intégrées dans les systèmes d'exploitation modernes (Windows Hello, macOS, iOS, Android), elles permettent de se connecter par empreinte digitale, reconnaissance faciale ou code PIN, sans jamais transmettre de secret au serveur. Comme les clés FIDO2, les passkeys vérifient l'origine du site et sont donc résistantes au phishing. Pour tout comprendre sur cette technologie, lisez notre guide sur les passkeys et la révolution de l'authentification.

Google, Microsoft et Apple ont massivement déployé le support des passkeys en 2025. De plus en plus de services suisses — e-banking, administrations, assurances — commencent à les proposer. Si vous avez la possibilité d'activer les passkeys sur un service, faites-le dès maintenant.

La Suisse particulièrement exposée

La Suisse n'est pas épargnée par les campagnes de phishing. Au contraire. Avec sa forte concentration de banques, d'entreprises technologiques et d'organisations internationales, elle constitue une cible de choix. L'OFCS a signalé une augmentation significative des campagnes de phishing ciblant spécifiquement les utilisateurs suisses en 2025, avec des pages imitant SwissID, les portails e-banking des grandes banques romandes et les services de La Poste.

Les PME sont particulièrement vulnérables. Beaucoup utilisent Microsoft 365 ou Google Workspace sans avoir mis en place de protections avancées contre le phishing. Un seul employé qui tombe dans le piège d'un e-mail Tycoon 2FA, et c'est l'ensemble des données de l'entreprise qui est compromis.

Créer des mots de passe solides reste essentiel

Même si la MFA classique peut être contournée, cela ne signifie pas qu'il faut l'abandonner. Un mot de passe robuste et unique combiné à une MFA — même imparfaite — reste infiniment plus sûr qu'un mot de passe faible sans MFA. La sécurité est une affaire de couches : chaque couche supplémentaire rend l'attaque plus difficile et plus coûteuse pour le cybercriminel.

Clé de sécurité FIDO2 YubiKey posée à côté d'un smartphone affichant une demande d'authentification par passkey
Les clés FIDO2 et les passkeys sont les seules méthodes d'authentification véritablement résistantes aux attaques de phishing par proxy (AitM).

Checklist : protégez-vous contre le phishing avancé

Voici les actions concrètes à mettre en place dès maintenant pour vous protéger contre les attaques de type Tycoon 2FA :

  1. Activez les passkeys sur tous les services qui les proposent (Microsoft, Google, Apple, etc.). C'est la protection la plus efficace contre le phishing.
  2. Investissez dans une clé FIDO2 (YubiKey, Google Titan) pour vos comptes les plus critiques — e-banking, messagerie professionnelle, cloud.
  3. Ne cliquez jamais sur un lien de connexion dans un e-mail. Tapez toujours l'adresse du site manuellement dans votre navigateur ou utilisez un favori enregistré.
  4. Vérifiez l'URL avant de saisir vos identifiants. Les sites de phishing utilisent des domaines proches mais légèrement différents (micro-soft.com, micros0ft.com, etc.).
  5. Utilisez un gestionnaire de mots de passe. Il ne remplira pas automatiquement vos identifiants sur un faux site, ce qui constitue un filet de sécurité supplémentaire.
  6. Activez les alertes de connexion sur vos comptes. Si quelqu'un se connecte depuis un appareil ou un lieu inhabituel, vous serez immédiatement prévenu.
  7. Formez vos équipes si vous êtes responsable d'une entreprise. Un exercice de simulation de phishing par trimestre réduit drastiquement le taux de clics sur les liens malveillants.
  8. Surveillez vos sessions actives dans les paramètres de sécurité de Microsoft 365 ou Google Workspace. Révoquez toute session suspecte.
  9. Signalez les e-mails suspects à votre service informatique ou à l'OFCS (report.ncsc.admin.ch).
  10. Faites auditer votre sécurité par un professionnel. Chez CyberClinique, nous proposons un service de sécurisation personnelle qui inclut la vérification de vos comptes, la mise en place de la MFA renforcée et la formation aux bonnes pratiques.

Ne restez pas seul face à la menace

Le démantèlement de Tycoon 2FA est une victoire importante, mais la guerre contre le phishing est loin d'être terminée. De nouvelles plateformes émergent constamment, et les techniques d'attaque ne cessent de se perfectionner. La meilleure défense reste la vigilance, combinée à des outils de protection modernes.

Si vous avez le moindre doute sur la sécurité de vos comptes ou si vous pensez avoir été victime d'une attaque de phishing, n'attendez pas. Contactez-nous à contact@cyberclinique.ch ou consultez notre page de sécurisation personnelle. Chez CyberClinique, nous intervenons sous 2 heures — sur place à Yverdon-les-Bains et dans toute la Suisse romande, ou à distance partout en Suisse. Un diagnostic rapide peut faire la différence entre un incident mineur et une catastrophe.

Tous les articles Besoin d'aide ?