Le démantèlement de Tycoon 2FA, coordonné par Europol début mars 2026, est plus qu’une victoire policière. C’est un signal d’alarme pour toute organisation qui croit se protéger suffisamment en activant la MFA. Cette affaire révèle que le vol de session a rendu caduque cette conviction.
Le 4 mars 2026, Europol annonçait la perturbation de Tycoon 2FA, l’une des plateformes de phishing-as-a-service les plus actives au monde. L’opération, coordonnée par le Centre européen de lutte contre la cybercriminalité (EC3), a mobilisé les forces de l’ordre de 6 pays (Lettonie, Lituanie, Portugal, Pologne, Espagne et Royaume-Uni), ainsi qu’une coalition de partenaires privés dont Microsoft et Trend Micro.
Le résultat : 330 domaines constituant l’infrastructure centrale du service ont été saisis et neutralisés (pages de phishing, panneaux de contrôle, serveurs d’interception compris, etc.). C’est Microsoft qui a mené la perturbation technique.
L’ampleur donne le vertige
Actif depuis août 2023, Tycoon 2FA n’était pas un outil artisanal. La plateforme fonctionnait sur abonnement, à la manière d’un véritable service SaaS criminel. Elle générait des dizaines de millions d’e-mails de phishing chaque mois et avait facilité l’accès non autorisé à près de 100 000 organisations dans le monde : écoles, hôpitaux, administrations publiques, entreprises privées. À la mi-2025, Tycoon 2FA représentait à elle seule environ 62 % de toutes les tentatives de phishing bloquées par Microsoft.
Ce que ça révèle : la MFA contournée par le vol de session
Tycoon 2FA fonctionnait comme un proxy inverse dit « adversary-in-the-middle » (AiTM). Ainsi, lorsqu’une victime saisissait ses identifiants sur une page imitant un service légitime, la plateforme interceptait la session en temps réel (y compris le cookie de session généré après validation du second facteur d’authentification).
Le second facteur validé, mais la session volée
Autrement dit, la MFA n’était pas cassée techniquement. Elle était simplement rendue inutile. La victime avait bien reçu et saisi son code à usage unique, ou validé sa notification push. L’attaquant récupérait le cookie de session immédiatement après, avant même que l’utilisateur ait terminé de naviguer. Il pouvait alors rejouer cette session depuis n’importe où dans le monde, sans avoir à reproduire l’étape d’authentification.
Ce mécanisme, connu sous le nom de session hijacking ou vol de token, n’est pas nouveau. Ce qui l’est en revanche, c’est sa mise à l’échelle industrielle via des plateformes vendues comme des abonnements, avec interface d’administration, support technique et mises à jour. La cybercriminalité a professionnalisé sa chaîne d’attaque plus vite que beaucoup d’organisations n’ont professionnalisé leur défense.
Pourquoi c’est un sujet de confiance numérique
Ce que compromet Tycoon 2FA, c’est la fiabilité des échanges numériques dans leur ensemble. Lorsqu’un compte e-mail professionnel est pris en main par un attaquant, ce sont des communications internes, des données contractuelles, des accès cloud et des chaînes de validation qui passent sous contrôle étranger, et souvent sans que ni la victime ni ses interlocuteurs ne s’en aperçoivent immédiatement.
L’e-mail et le cloud au cœur des compromissions
Tycoon 2FA ciblait prioritairement les comptes de messagerie et les services cloud, deux piliers de la collaboration professionnelle. La compromission d’un compte Microsoft 365 ou Google Workspace ouvre un accès à bien plus qu’une boîte mail : agendas, documents partagés, droits d’administration, historiques de conversation, pipelines automatisés, etc. Dans certains secteurs, cela signifie des données de santé, des informations financières ou des secrets industriels exposés.
La compromission de comptes dans des hôpitaux, des écoles ou des administrations publiques (explicitement mentionnées dans le communiqué d’Europol) illustre que la confiance numérique n’est pas un sujet réservé aux grandes entreprises technologiques. Elle concerne chaque organisation qui repose sur l’authenticité des identités pour fonctionner.
C’est précisément là que le préjudice devient systémique. Quand l’identité numérique est compromise, ce sont les relations de confiance entre organisations, clients et partenaires qui en pâtissent, et parfois durablement.
Ce que les organisations doivent revoir
Quelle leçon tirer de cette affaire ? Que la MFA standard (code SMS, application TOTP, notification push) n’offre plus une protection suffisante face aux attaques AiTM. Cela ne veut pas dire qu’il faut l’abandonner, mais qu’il faut la compléter, voire la remplacer partiellement par des mécanismes conçus pour résister au vol de session.
Passer à l’authentification résistante au phishing
Les solutions FIDO2 et les passkeys offrent justement une réponse structurelle à ce problème. Contrairement aux codes à usage unique, ces mécanismes lient cryptographiquement l’authentification au domaine légitime, ce qui rend l’interception sur un site miroir sans effet. Trend Micro, qui est à l’origine des renseignements ayant déclenché l’enquête Europol, pousse explicitement ces mesures dans ses recommandations post-opération.
Renforcer la surveillance des sessions
Par ailleurs, la détection d’anomalies comportementales sur les sessions actives devient un complément indispensable. Une session ouverte depuis une adresse IP inhabituelle, dans un pays différent de l’accès habituel, ou avec un user-agent incohérent, doit déclencher une alerte ou une réauthentification. Les politiques de conditional access (disponibles dans les principales suites de gestion des identités) permettent d’automatiser ces contrôles.
Protéger les canaux d’entrée
Enfin, la protection e-mail et web reste le premier rempart. Des solutions capables de détecter les pages de phishing AiTM, les redirections suspectes et les domaines usurpés contribuent à couper l’attaque avant l’interception de session. La sensibilisation des utilisateurs garde bien entendu sa place dans ce dispositif, non comme seule ligne de défense, mais comme couche complémentaire. Car savoir reconnaître une tentative d’hameçonnage sophistiquée reste utile, même si cela ne suffit plus.
| 🤝 La coopération public-privé : un modèle qui produit des résultats |
| L’affaire Tycoon 2FA illustre l’efficacité d’un modèle encore trop peu systématisé : la coopération opérationnelle entre forces de l’ordre et acteurs privés du secteur de la cybersécurité.
C’est Trend Micro qui a transmis les premiers renseignements. Europol les a diffusés via son Programme d’extension du cyber-renseignement (CIEP), un dispositif qui permet à des experts privés de travailler temporairement aux côtés des analystes d’EC3 à La Haye. Microsoft a mené la perturbation technique. Des acteurs comme Cloudflare, SpyCloud, Intel471 et la Shadowserver Foundation ont complété le dispositif d’analyse et de démantèlement. Ce modèle (renseignement privé, coordination publique, action technique partagée) est particulièrement adapté à la nature transnationale de la cybercriminalité, qui déborde par définition les frontières des juridictions nationales. Son efficacité tient à la rapidité du partage d’information et à la complémentarité des expertises : là où les forces de l’ordre ont l’autorité légale pour saisir des domaines, les partenaires privés apportent la visibilité technique sur l’infrastructure. Le programme CIEP d’Europol représente à ce titre une première institutionnelle : une structure pérenne destinée à transformer la coopération ad hoc en réponse coordonnée et reproductible face aux menaces cybercriminelles à grande échelle. |
LeakBase, la place de marché des identifiants volés, démantelée
Cette même semaine, Europol annonçait le démantèlement de LeakBase, un forum spécialisé dans le trafic de bases de données compromises et de « journaux de vol », des archives d’identifiants collectés par des logiciels malveillants de type infostealer.
Actif depuis 2021, LeakBase comptait plus de 142 000 utilisateurs inscrits, environ 32 000 publications et plus de 215 000 messages privés. La plateforme fonctionnait comme un marché structuré, avec un système de crédits et de réputation entre vendeurs et acheteurs de données volées.
Les 3 et 4 mars 2026, une centaine d’opérations coordonnées dans plus de 14 pays ont conduit à des arrestations, des perquisitions et la saisie du domaine du forum. Les autorités ont ensuite pris directement contact avec plusieurs suspects via les plateformes qu’ils utilisaient pour leurs activités criminelles.
Le lien avec Tycoon 2FA est plus que symbolique : les identifiants qui circulent sur des forums comme LeakBase alimentent précisément les campagnes de phishing ciblé. Credential stuffing, spear phishing, prise de contrôle de comptes. Toutes ces attaques s’appuient sur des données fraîchement compromises.
Démanteler les deux maillons dans la même semaine réduit l’efficacité de l’ensemble de la chaîne criminelle.
