La vision de Cyber Academy
Le MFA impose que l'authentification repose sur deux facteurs ou plus issus de catégories distinctes (connaissance, possession, inhérence). Tous les MFA ne se valent pas : les codes par SMS et e-mail sont hameçonnables, les notifications push exposent à la fatigue d'approbation, les tokens matériels et les passkeys constituent les formes robustes. NIS 2 et DORA imposent tous deux un MFA « fort » sur les accès critiques.
Ce qui compte comme facteur, et pourquoi cela importe
L'authentification multifacteur exige deux preuves d'identité ou plus, issues de catégories différentes, de sorte que la compromission de l'une ne livre pas le compte à un attaquant. Les trois catégories classiques sont la connaissance (quelque chose que vous savez, comme un mot de passe ou un code PIN), la possession (quelque chose que vous avez, comme un téléphone, une clé de sécurité ou une carte à puce) et l'inhérence (quelque chose que vous êtes, comme une empreinte digitale ou un visage). Le mot déterminant ici est différentes.
Deux mots de passe ne constituent pas une authentification multifacteur, car ils relèvent de la même catégorie et tombent face aux mêmes attaques. Un mot de passe associé à un code provenant d'un appareil distinct, oui, car un attaquant doit désormais déjouer deux contrôles indépendants à la fois.
C'est aussi là que se rejoignent la MFA et la gestion des identités. La MFA ne renforce que l'étape d'authentification, le moment où un utilisateur prouve qui il est. Elle ne dit rien sur ce que cet utilisateur est ensuite autorisé à faire, ce qui relève de l'autorisation, ni sur le provisionnement, le déprovisionnement ou les revues d'accès. Considérez la MFA comme une couche durcie au sein d'un programme IAM plus large, et non comme un substitut au moindre privilège ou au nettoyage des comptes orphelins.
Toutes les MFA ne se valent pas
L'observation la plus importante du praticien est que la MFA s'inscrit sur un spectre de robustesse, et la différence n'est pas cosmétique. Les codes à usage unique par SMS et par e-mail valent mieux qu'un mot de passe seul, mais ils sont hameçonnables : une fausse page de connexion convaincante demande simplement à la victime de saisir le code, et un attaquant le relaie en temps réel. Le SIM swapping aggrave encore le cas du SMS.
Les approbations par notification push ajoutent une simple validation, mais elles invitent à la fatigue MFA, où un attaquant qui détient déjà le mot de passe inonde l'utilisateur d'invites d'approbation jusqu'à ce qu'un utilisateur fatigué en accepte une. Les formes robustes sont des facteurs de possession liés au site légitime : les clés de sécurité matérielles et les passkeys reposant sur FIDO2 et WebAuthn. Parce que la justificatif est cryptographiquement liée au véritable domaine, elle ne livre rien à une page qui imite l'original. C'est cette propriété que l'on désigne par MFA résistante à l'hameçonnage.
| Méthode | Catégorie | Résistante à l'hameçonnage | Faiblesse typique |
|---|---|---|---|
| Code par SMS ou e-mail | Possession (faible) | Non | Relayé sur de fausses pages, SIM swap |
| Application d'authentification TOTP | Possession | Non | Le code peut être hameçonné en temps réel |
| Approbation par push | Possession | Non | Fatigue MFA et approbation accidentelle |
| Clé matérielle (FIDO2) | Possession | Oui | Coût et logistique d'enrôlement |
| Passkey (WebAuthn) | Possession et inhérence | Oui | Récupération et liaison à l'appareil |
Contexte réglementaire et normatif
La MFA est passée d'une recommandation à une attente dans l'ensemble de la réglementation européenne en cybersécurité. NIS 2 impose aux entités essentielles et importantes d'adopter des mesures d'hygiène informatique et de contrôle d'accès, l'authentification multifacteur ou continue étant explicitement mentionnée pour la sécurité des accès. DORA impose des attentes comparables au secteur financier, où l'authentification forte protège les fonctions critiques et l'accès à distance.
Les deux cadres penchent vers l'extrémité forte du spectre plutôt que de considérer n'importe quelle MFA comme suffisante. La même orientation apparaît dans les recommandations du NIST, qui privilégient les authentificateurs résistants à l'hameçonnage pour les accès à forte valeur, et dans des cadres de référence tels qu'ISO/IEC 27001 et les CIS Controls, qui font de la MFA une mesure de protection fondamentale du contrôle d'accès.
Ce que les praticiens font réellement, c'est échelonner le déploiement selon le risque. Ils protègent d'abord les comptes privilégiés et administratifs, puis l'accès à distance et exposé à Internet, puis l'ensemble des utilisateurs, et ils choisissent des méthodes résistantes à l'hameçonnage partout où l'impact d'une compromission est élevé. Ils planifient soigneusement la récupération et l'enrôlement, car la perte de facteurs représente un coût opérationnel réel, et ils surveillent les schémas de fatigue et de contournement. Bien menée, la MFA retire discrètement toute valeur à un mot de passe volé. Menée comme une case à cocher, elle procure un faux sentiment de sécurité tandis que le canal hameçonnable reste ouvert.
Frequently asked questions
01Exiger deux mots de passe constitue-t-il une authentification multifacteur ?
Non. Deux mots de passe sont tous deux des facteurs de connaissance, ils tombent donc face aux mêmes attaques en même temps. La véritable MFA combine des facteurs de catégories différentes, par exemple quelque chose que vous savez plus quelque chose que vous avez ou quelque chose que vous êtes.
02Pourquoi la MFA par SMS est-elle considérée comme faible ?
Les codes SMS peuvent être hameçonnés en temps réel, car une fausse page de connexion demande simplement à la victime de saisir le code pendant qu'un attaquant le relaie. Les attaques par SIM swap peuvent aussi rediriger entièrement le message. Le SMS reste préférable à un mot de passe seul, mais il n'est pas résistant à l'hameçonnage.
03Qu'est-ce que la MFA résistante à l'hameçonnage ?
C'est une authentification où le justificatif est cryptographiquement lié au site légitime, de sorte qu'il ne peut pas être rejoué sur une page qui imite l'original. En pratique, cela désigne les clés de sécurité matérielles FIDO2 et les passkeys WebAuthn, qui ne livrent rien d'utile à un faux domaine.
04Qu'est-ce que la fatigue MFA ?
C'est une attaque où quelqu'un qui détient déjà un mot de passe valide inonde l'utilisateur d'invites d'approbation push jusqu'à ce qu'une personne fatiguée ou distraite appuie sur approuver. La correspondance de numéro et la limitation des invites aident, mais les méthodes résistantes à l'hameçonnage suppriment entièrement la faiblesse.
05NIS 2 et DORA exigent-ils réellement la MFA ?
Les deux attendent des mesures fortes de contrôle d'accès et d'authentification pour les accès critiques, et l'authentification multifacteur ou continue fait explicitement partie de cette panoplie. L'accent est mis sur des méthodes fortes plutôt que sur le fait de considérer n'importe quelle forme de MFA comme suffisante.