Une campagne de phishing dévastatrice utilisant le framework Evilginx cible massivement les universités américaines. L’outil permet de contourner facilement la double authentification (MFA) pour compromettre les comptes étudiants et les systèmes de recherche sensibles.
Grâce à des liens dynamiques (TinyURL) et des domaines d’apparence légitime, ils ont réussi à tromper de nombreux étudiants et professeurs. L’enquête révèle à quel point la compromission d’un simple mot de passe peut engendrer des dégâts durables dans des institutions de recherche.
En bref : L’essentiel sur l’attaque AiTM Evilginx (2025/2026)
| Threat Vector | Payload Analysis // Logs de Chiffrement & Diagnostics d’Infrastructures |
|---|---|
| Menace | Une campagne agressive de phishing par piratage d’adversaire au milieu (Adversary-in-the-Middle) a ciblé 18 universités américaines majeures pour compromettre des données critiques de recherche scientifique. |
| Mécanisme | Le framework Evilginx 3.0 intercepte en temps réel les identifiants et les cookies de session, contournant intégralement les doubles authentifications (MFA) classiques par SMS ou code TOTP. |
| Constat 2026 | Les codes d’authentification temporaires à 6 chiffres sont désormais techniquement obsolètes face au déploiement de proxies dynamiques furtifs cachés derrière des infrastructures de reverse-proxy. |
| Parade Absolue | Déploiement obligatoire d’un MFA résistant au phishing basé sur le standard souverain FIDO2 / WebAuthn, matérialisé par des clés cryptographiques physiques (YubiKeys) ou des Passkeys biométriques. |
Une opération coordonnée sur plusieurs mois
Entre avril et la mi-novembre 2025, l’enseignement supérieur américain a été la cible d’une campagne de phishing extrêmement méthodique. L’entreprise Infoblox Threat Intel, à l’origine de l’enquête, a mis en lumière l’usage sophistiqué de l’outil Evilginx (version 3.0).
Il s’agit d’une plateforme open source qui s’appuie sur Nginx pour mener des attaques de type « Adversaire du milieu » (AiTM – Adversary-in-the-Middle). Ce type d’attaque permet aux cybercriminels de se placer en proxy pour intercepter les flux de connexion en temps réel et voler les cookies de session.
Ils peuvent ainsi contourner totalement les protections basées sur le MFA (SMS ou application d’authentification). Parmi les 18 établissements de premier plan visés, on compte notamment :
- L’Université de Californie à Santa Cruz (UCSC).
- L’Université de Californie à Santa Barbara.
- L’Université de Californie à San Diego (première victime ciblée).
- L’Université du Michigan.
- La Virginia Commonwealth University (VCU).
Une cartographie DNS révélatrice
Malgré l’utilisation de techniques avancées de dissimulation, les attaquants ont laissé des empreintes numériques exploitables. C’est d’ailleurs le signalement d’une activité suspecte par un analyste de sécurité travaillant dans l’une des universités qui a déclenché la traque globale.
Grâce à l’analyse approfondie de l’activité DNS, Infoblox a pu identifier près de 70 domaines malveillants utilisés dans le cadre de cette opération. Les pirates imitaient parfaitement les portails d’authentification unique (SSO) des étudiants.
“Les URL utilisées étaient éphémères (expirant en 24h), hébergées derrière des proxys Cloudflare, et les véritables serveurs étaient masqués par des reverse-proxies”, explique un chercheur impliqué dans l’analyse d’Infoblox. Ces tactiques rendaient l’analyse de code (HTML/CSS) classique quasiment inefficace pour les antivirus.
Des conséquences lourdes pour la recherche
Si la campagne de 2025 visait principalement les portails étudiants, les dommages vont parfois bien au-delà de la compromission de simples identifiants. Dr Renée Burton, vice-présidente chez Infoblox Threat Intel, a souligné la gravité historique des attaques visant le milieu universitaire.
Pour illustrer ce péril, elle a rappelé un incident tragique survenu en 2022 : “Dans un cas particulièrement triste, les systèmes du Burke Museum de l’Université de Washington ont été infiltrés par un malware, entraînant la perte partielle de son catalogue numérique.”
Cet exemple prouve que “ce sont des années de travail bénévole et de documentation d’espèces rares qui peuvent être détruites” si un compte universitaire est compromis.
Face à cette menace de vol de session croissante, Infoblox appelle d’urgence les établissements à renforcer leur posture de cybersécurité. L’entreprise poursuit actuellement la surveillance de l’infrastructure DNS utilisée dans ces attaques afin de prévenir d’éventuelles récidives majeures.
Vers l’adoption du MFA résistant au Phishing
Face à la montée en puissance des attaques AiTM (Adversary-in-the-Middle) les autorités de cybersécurité ont dû revoir radicalement leur doctrine sur le MFA.
On a d’abord constaté que le MFA classique basé sur les codes TOTP ou les SMS n’offre aucune protection contre ces attaques. Car celles-ci volent le cookie de session après l’authentification réussie, contournant ainsi intégralement le second facteur.
Ainsi la CISA recommande le MFA résistant au phishing. Ce sont le FIDO2/WebAuthn d’une part, et l’authentification à base de PKI (cartes à puce PIV/CAC) d’autre part. lorsqu’un utilisateur s’authentifie via FIDO2 ou WebAuthn, la clé de sécurité physique ou la Passkey lie cryptographiquement l’authentification au domaine exact du site.
Dans ce cas, un site de phishing, même parfaitement imité, ne peut tout simplement pas compléter l’échange. L’authentification échoue avant même que l’utilisateur ait pu être trompé.
Comment neutraliser Evilginx et le phishing AiTM en 2026 ?
Le succès glaçant de cette campagne confirme une réalité technologique en 2026 : l’authentification à double facteur (MFA) par code à 6 chiffres est obsolète. Qu’il s’agisse d’un code reçu par SMS ou généré par Google Authenticator, Evilginx l’intercepte et le valide en temps réel à votre place.
Pour protéger les accès sensibles, les universités et les entreprises n’ont aujourd’hui plus qu’une seule solution viable : le MFA résistant au phishing. Cela passe toujours par l’adoption généralisée des clés de sécurité physiques FIDO2 (comme les YubiKeys).
L’autre alternative majeure de cette année est le déploiement massif des Passkeys (Clés d’accès biométriques cryptographiques). Avec un Passkey, l’authentification est liée de manière cryptographique au vrai nom de domaine du site web.
Si un étudiant se connecte sur une fausse page générée par Evilginx, le Passkey refusera purement et simplement de fonctionner, rendant l’attaque AiTM totalement inopérante.
Article basé sur un communiqué de presse reçu par la rédaction.
