L'authentification à deux facteurs (2FA) est essentielle pour sécuriser vos comptes en ligne, mais toutes les méthodes ne se valent pas. Microsoft recommande vivement d'abandonner les codes envoyés par SMS ou appels téléphoniques au profit de technologies plus robustes.
Alex Weinert, directeur de la sécurité des identités chez Microsoft, a publié un article détaillé sur le blog de la communauté technique de Microsoft. Il analyse l'évolution des méthodes d'authentification multifacteur et explique pourquoi la 2FA par SMS ou appels vocaux n'offre plus un niveau de protection suffisant.
Premièrement, ces méthodes basées sur le téléphone peinent à contrer les attaques modernes. Contrairement à d'autres technologies, il est impossible d'ajuster rapidement leur fonctionnement pour bloquer les intrus.
De plus, les SMS et appels ne sont pas chiffrés de bout en bout. Sans application dédiée, les hackers interceptant vos messages ou communications accèdent facilement aux codes.
La fiabilité dépend aussi de la qualité du réseau mobile : en zones à faible couverture, recevoir le code devient problématique.
Les SMS sont par ailleurs "fire-and-forget" : l'expéditeur ignore si le message est bien parvenu, sans confirmation de livraison.
Enfin, en cas de problème, le support client peut être un point faible : les agents peuvent être dupés ou contraints, compromettant ainsi la 2FA.
Weinert insiste : la 2FA reste indispensable, mais les variantes téléphoniques sont obsolètes. Il préconise des alternatives plus fiables.
Le constat de Weinert est pertinent. À l'origine, la 2FA par téléphone était une solution simple et rapide. Aujourd'hui, des options supérieures existent.
La 2FA par e-mail, par exemple, est efficace si votre boîte est protégée par un mot de passe fort et un service chiffré.
Les applications d'authentification (comme Google Authenticator ou Microsoft Authenticator) génèrent des codes localement, sans dépendre d'un réseau, et intègrent biométrie ou PIN pour une sécurité accrue.
En résumé, bien que vitale, la 2FA par SMS ou appels est moins sécurisée et pratique que les alternatives modernes.
Microsoft promeut des méthodes avancées comme les clés de sécurité U2F ou passkeys. À mesure que la technologie évolue, les codes SMS pourraient bien devenir obsolètes.
De nombreux experts partagent cette vision : il est temps de migrer vers des solutions plus résistantes aux cybermenaces.
Crédit image : vladwel / Shutterstock.com
