01 ·
Protection comportementale
Opère sur le comportement de la page à destination, pas sur le canal de livraison. Efficace même lorsque le message contourne SEG, sandbox et filtres DNS.
Le phishing moderne contourne le MFA. L'Interceptor non.
Les attaques AiTM ne se contentent pas de voler les identifiants : elles capturent le session token après authentification, rendant le MFA inutile. Fortgale bloque l'attaque avant que l'utilisateur n'interagisse avec le proxy malveillant.
Fortgale · Interceptor
Alerte active
Attaque AiTM détectée
Cette page utilise un proxy pour intercepter vos identifiants et token MFA. Ne saisissez aucune donnée.
hxxps://m1cr0s0ft-login[.]verify-token[.]net/aitm/...
Compliance · email security
NIS2 ready
DORA
ISO 27001
GDPR
Compatibility
Microsoft 365
Google Workspace
Entra ID
FIDO2 / TOTP
Pourquoi ça fonctionne contre l'AiTM
Il agit sur la page, pas sur l'e-mail.
Les solutions anti-phishing classiques interviennent avant la livraison. Fortgale opère là où les filtres traditionnels échouent : au moment où l'utilisateur est sur le point de saisir ses identifiants.
02 ·
MFA-proof by design
Conçu pour les AiTM qui contournent le MFA : agit avant que le token ne soit généré dans un contexte frauduleux, rendant le vol structurellement impossible.
03 ·
Zéro changement d'infrastructure
Aucune modification du DNS, des serveurs mail ou du tenant M365. Onboarding guidé en quelques heures. Compatible avec FIDO2, TOTP, clés hardware et tous les fournisseurs MFA.
Preuve · secteurs réels
Quatre secteurs où Fortgale est déjà opérationnel.
Banque
Campagnes AiTM
sur les portails M365 financiers
sur les portails M365 financiers
Shipping
BEC + AiTM
contre les opérateurs logistiques
contre les opérateurs logistiques
Industrie
Spear-phishing
sur les supply chains M365 hybrides
sur les supply chains M365 hybrides
Infra critique
Opérateurs NIS2
avec reporting auditable
avec reporting auditable
Anatomie d'une attaque AiTM
Cinq étapes · l'Interceptor la bloque avant la première.
Le proxy AiTM rend le MFA inutile. La seule défense est d'agir sur la page de destination, avant que l'utilisateur ne tape.
01 · E-mail
E-mail de phishing livré
L'e-mail de phishing contourne SEG, sandbox et filtres DNS. Il contient un lien vers un proxy AiTM d'apparence légitime.
02 · Proxy
Proxy AiTM activé
L'utilisateur clique. Le proxy transparent (Evilginx, Modlishka, Muraena) relaie le trafic vers le vrai portail M365.
03 · Identifiants
Identifiants + MFA capturés
L'utilisateur saisit ses identifiants et le second facteur. Le proxy capture tout : mot de passe et code MFA.
04 · Token
Session token volé
Microsoft émet le session token. Le proxy l'intercepte et le réutilise de manière autonome, contournant le MFA.
05 · Blocage
Fortgale Interceptor
L'Interceptor détecte le proxy et bloque l'utilisateur avant l'étape 1. Aucune donnée n'est jamais transmise.
Ce que comprend le service
Six piliers de protection AiTM.
01
Protection comportementale
Opère sur le comportement de la page de destination, pas sur le canal de livraison. Efficace même lorsque le message contourne SEG, sandbox et filtres DNS.
02
MFA-proof by design
Conçu pour les AiTM qui contournent le MFA : agit avant que le token ne soit généré dans un contexte frauduleux, rendant le vol structurellement impossible.
03
Zéro changement d'infrastructure
Aucune modification du DNS, des serveurs mail ou du tenant M365. Onboarding guidé en quelques heures, sans impact sur la productivité.
04
Couverture M365 + Google Workspace
Protection pour Microsoft 365 (Exchange Online, SharePoint, Teams) et Google Workspace (Gmail, Drive, Meet).
05
Intelligence en temps réel
Alimenté par le Fortgale Intelligence Feed : nouvelle infrastructure AiTM, kits de phishing émergents, domaines lookalike détectés et bloqués en temps réel.
06
Visibilité & reporting
Tableau de bord centralisé des attaques interceptées, utilisateurs concernés, secteurs cibles. Reporting CISO avec métriques MTTD/MTTR et tendances mensuelles.
Défense intégrée
L'Interceptor prévient. Les autres services complètent la couverture.
Post-compromission
ITDR · Protection de l'identité
Sécurité de l'identité à 360° de l'AD on-prem à Entra ID et le cloud. Détection & réponse sur les identifiants compromis.
Découvrir ITDR →Detection & Response
Managed Detection & Response
EDR/XDR gouverné par le SOC européen. Triage en <15 min, confinement ~11 min.
Découvrir MDR →Intelligence
Intelligence Feed
34 000+ IoC par semaine · domaines de phishing AiTM, kits Evilginx/Modlishka, infrastructure C2 distribués via STIX/TAXII.
Découvrir le Feed →FAQ
Tout savoir avant d'activer l'Interceptor.
Qu'est-ce qu'une attaque de phishing AiTM ?
Adversary-in-The-Middle : un proxy transparent entre l'utilisateur et le site légitime (M365). Capture les identifiants et les tokens MFA, contournant l'authentification. Technique dominante dans les campagnes européennes avancées. Frameworks : Evilginx, Modlishka, Muraena.
Comment l'Interceptor Fortgale fonctionne-t-il contre l'AiTM ?
Détecte en temps réel les signaux caractéristiques des pages proxy AiTM et affiche un avertissement avant la saisie des identifiants. Analyse le comportement de la page et de la session, pas le canal e-mail.
Pourquoi le MFA n'est-il pas suffisant contre l'AiTM ?
Le MFA protège les identifiants statiques (nom d'utilisateur/mot de passe) mais pas le session token émis après l'authentification. Le proxy AiTM reçoit le token valide — même après le second facteur — et le réutilise de manière autonome. L'Interceptor agit en amont.
Fonctionne-t-il aussi avec Google Workspace ?
Oui. Les campagnes AiTM contre Google sont en croissance dans l'industrie, la logistique et les services professionnels. Logique identique : un avertissement avant la saisie des identifiants.
Combien de temps prend l'activation ?
Onboarding rapide, non invasif. Aucune modification de l'infrastructure, des serveurs mail, du DNS, du tenant M365. Activation en quelques heures. Réponse de l'équipe dans les 24 heures ouvrées.
Recherche · kits de phishing AITM
Nous traquons les kits de phishing qui contournent la MFA.
Nous analysons les kits de phishing AITM en circulation — infrastructure reverse-proxy, token hijack, kits réutilisables. Operation Storming Tide et Phishing Kits Bypass MFA ne sont que deux exemples de la recherche qui alimente nos détections M365.
Phishing Kits Bypass MFA and Hijack companies's accounts in minutes
Intelligence · Phishing Kit · Q1 2026 April 24, 2026Fortgale CTI14 min readRPT-26-0424 Observation of the quarter The 2026 phishing ecosystem has outpaced tradition…
Lire l'article →
Investment-Targeted Phishing: How Phishing Kit Fuels Espionage in Funding Rounds
In the high-stakes world of venture capital and corporate funding, where millions hang in the balance and sensitive financial data flows freely, a new breed of cyber threat is em…
Lire l'article →
Operation Storming Tide: A massive multi-stage intrusion campaign
In February 2026, the Fortgale Incident Response team investigated a multi-stage intrusion attributed to Mora_001, a Russian-origin threat actor exploiting Fortinet vulnerabiliti…
Lire l'article →
Behind the Wheel: Unveiling the Supercar Phishing Kit Targeting Microsoft 365
UPDATES: 27.11.2024: As mentioned by TrustWave, "Supercar Phishing Kit" has an high level of overlapping with the most recent update of "Rockstar 2FA Phishing-as-a-Service" 26.09…
Lire l'article →
Espionage activities targeting European businesses
In the evolving landscape of cybersecurity threats, Fortgale is tracking PhishSurf Nebula, an advanced Cyber Espionage group active since 2021 and primarily targeting entities wi…
Lire l'article →
Nebula Broker: offensive operations made in Italy
Fortgale has been tracking an Italian Threat Actor, internally dubbed as Nebula Broker, since March 2022. The actor uses self-made malware (BrokerLoader) to compromise Italian sy…
Lire l'article →
Parler avec le centre de défense
Un rendez-vous. Un NDA. Une conversation avec nos analystes.
Pas de funnel. Pas de démo générique. Nous vous apportons un Report construit sur votre secteur et des analystes avec autorité de décision.