ServicesHébergement TéléphonieInternet SécuritéBlogContactEspace client 0805 690 788
Retour au blog
Cybersécurité 4 avril 2026 Emmanuel Daunizeau

Authentification multi-facteurs : pourquoi aller au-delà du SMS

Le SMS comme second facteur d'authentification présente des failles critiques. Découvrez les alternatives modernes comme FIDO2 et les passkeys.

MFA authentification FIDO2 passkeys TOTP SIM swap
Cadenas numérique symbolisant l'authentification multi-facteurs avec clé de sécurité FIDO2

Le mot de passe seul ne suffit plus. En 2025, 80 % des violations de données liées à l'identité exploitent des identifiants volés ou compromis selon le rapport Verizon DBIR. L'authentification multi-facteurs (MFA) est devenue un standard de sécurité incontournable. Pourtant, toutes les méthodes MFA ne se valent pas : le SMS, encore largement utilisé, présente des failles exploitées activement par les cybercriminels. Voici pourquoi — et comment — aller au-delà.

Le SMS : un second facteur fragile

L'envoi d'un code à usage unique par SMS est la forme de MFA la plus répandue car la plus simple à mettre en place. Cependant, elle souffre de vulnérabilités structurelles qui la rendent inadaptée aux contextes professionnels sensibles.

Le SIM swap : une menace bien réelle

Le SIM swap (échange de carte SIM) consiste pour un attaquant à convaincre l'opérateur téléphonique de transférer le numéro de la victime sur une nouvelle carte SIM. En France, la CNIL a signalé une hausse de 78 % de ce type de fraude entre 2023 et 2025. Une fois le numéro redirigé, l'attaquant reçoit tous les SMS — y compris les codes MFA — et peut accéder aux comptes protégés.

Autres faiblesses du SMS

  • Interception SS7 : le protocole de signalisation des réseaux mobiles, conçu dans les années 1980, permet à un attaquant disposant d'un accès au réseau opérateur d'intercepter les SMS en transit.
  • Phishing en temps réel : des kits comme EvilProxy ou Evilginx2 capturent le code SMS en temps réel via un faux site de connexion, rendant la protection MFA par SMS inefficace contre le phishing ciblé.
  • Dépendance au réseau mobile : absence de couverture, téléphone déchargé ou changé retardent l'authentification.

Adopter les réflexes essentiels de cybersécurité est un premier pas, mais la robustesse du MFA choisi fait une différence décisive.

TOTP : les applications d'authentification

Les applications comme Google Authenticator, Microsoft Authenticator ou Authy génèrent des codes temporaires (TOTP — Time-based One-Time Password) renouvelés toutes les 30 secondes. Le secret partagé est stocké localement sur le téléphone, éliminant les risques liés au réseau SMS.

Avantages et limites du TOTP

Le TOTP résiste au SIM swap et à l'interception SS7. Cependant, il reste vulnérable au phishing en temps réel : l'utilisateur peut saisir son code TOTP sur un faux site, permettant à l'attaquant de le rejouer immédiatement. La gestion de multiples comptes peut également s'avérer fastidieuse, et la perte du téléphone entraîne un processus de récupération complexe si aucune sauvegarde des secrets n'est configurée.

FIDO2 et les passkeys : le futur du MFA

Le standard FIDO2 (WebAuthn + CTAP2) représente une rupture technologique. Au lieu de transmettre un code, l'authentification repose sur un échange cryptographique à clé publique entre le terminal de l'utilisateur et le serveur. Le secret privé ne quitte jamais le dispositif physique.

Clés de sécurité matérielles

Les clés USB comme YubiKey (Yubico) ou Titan (Google) implémentent le protocole FIDO2. L'utilisateur branche la clé et touche le capteur pour s'authentifier. Coût unitaire : 25 à 70 € selon le modèle. Pour une PME de 30 collaborateurs, l'investissement total (deux clés par utilisateur pour la redondance) représente 1 500 à 4 200 €, soit le coût d'une seule journée d'interruption d'activité liée à une compromission.

Passkeys : la convergence grand public

Les passkeys, adoptées par Apple, Google et Microsoft depuis 2023, étendent FIDO2 au grand public. Le secret cryptographique est stocké dans le gestionnaire de mots de passe du système (iCloud Keychain, Google Password Manager) et synchronisé entre les appareils de l'utilisateur. L'authentification se fait par biométrie (empreinte, Face ID) ou code PIN local — sans aucun mot de passe ni code à saisir.

Dans une architecture Zero Trust, le MFA résistant au phishing n'est pas une option mais une exigence fondamentale pour garantir la vérification systématique de chaque accès.

ACME déploie des solutions MFA FIDO2 pour les PME : configuration des clés de sécurité, intégration avec Active Directory, Microsoft 365 et les applications métier, formation des utilisateurs et procédures de récupération. Nos clients constatent une réduction de 95 % des incidents liés au vol d'identifiants.

Vers une authentification robuste

Dépasser le SMS comme second facteur est devenu une nécessité face aux attaques de SIM swapping et d'interception SS7. Les clés de sécurité FIDO2 (YubiKey, Google Titan) offrent aujourd'hui le meilleur niveau de protection : elles résistent au phishing car l'authentification est liée cryptographiquement au domaine exact du site, rendant impossible la saisie de codes sur un site frauduleux.

Pour un déploiement à l'échelle de l'entreprise, combinez plusieurs méthodes selon le niveau de sensibilité des ressources. Utilisez les passkeys (WebAuthn) pour les applications web courantes, les clés physiques FIDO2 pour les accès administrateurs et VPN, et les applications TOTP (Microsoft Authenticator, Authy) comme solution de repli. Cette approche graduée assure un bon équilibre entre sécurité et expérience utilisateur.

  • Enrôlement progressif : déployez le MFA service par service en commençant par les comptes à privilèges élevés (administrateurs, direction, finance).
  • Procédure de récupération : prévoyez des codes de secours chiffrés stockés en coffre-fort physique pour éviter le blocage en cas de perte du second facteur.
  • Monitoring des échecs MFA : surveillez les tentatives échouées répétées qui peuvent signaler une attaque par force brute ou credential stuffing.

Choisir la bonne stratégie MFA pour votre entreprise

Le choix dépend du niveau de risque, du budget et de la maturité numérique des équipes. Voici une grille de décision pragmatique :

  1. Niveau minimal : TOTP via application mobile pour tous les comptes professionnels. Coût quasi nul, déploiement en quelques heures.
  2. Niveau intermédiaire : TOTP + clé FIDO2 pour les comptes à privilèges (administrateurs, direction, comptabilité).
  3. Niveau avancé : passkeys ou clés FIDO2 pour l'ensemble des collaborateurs, avec suppression progressive des mots de passe (passwordless).

FAQ

Le MFA par SMS est-il encore acceptable ?

Pour les comptes à faible risque et en l'absence d'alternative immédiate, le SMS reste préférable à l'absence totale de MFA. Cependant, pour les accès critiques (messagerie professionnelle, ERP, accès administrateur), il est fortement recommandé de migrer vers TOTP ou FIDO2. Le NIST (National Institute of Standards and Technology) a déclassé le SMS comme méthode d'authentification depuis 2017.

Que se passe-t-il si un employé perd sa clé FIDO2 ?

La bonne pratique consiste à fournir deux clés par utilisateur : une clé principale et une clé de secours stockée en lieu sûr (coffre-fort physique de l'entreprise). En cas de perte des deux clés, un processus de vérification d'identité manuel (en présentiel ou par vidéo avec pièce d'identité) permet de réinitialiser l'enregistrement. Ce processus prend généralement 15 à 30 minutes.

Les passkeys fonctionnent-elles avec les applications professionnelles ?

L'adoption progresse rapidement. En 2025, Microsoft 365, Google Workspace, Salesforce, GitHub et plus de 200 services professionnels supportent nativement les passkeys. Pour les applications internes ou legacy, un fournisseur d'identité (IdP) compatible FIDO2 comme Keycloak, Okta ou Azure AD sert de passerelle d'authentification unique (SSO).