Authentification multi-facteur (MFA)
Schéma d'authentification exigeant au moins deux facteurs indépendants — ce que l'on sait, possède ou est — pour vérifier un utilisateur et renchérir le vol d'identifiants.
L’authentification multi-facteur (MFA) exige qu’un utilisateur présente au moins deux preuves indépendantes — issues de catégories de facteurs distinctes — avant d’obtenir l’accès. La norme NIST SP 800-63B définit ces catégories comme ce que l’on sait (mot de passe, code PIN), ce que l’on possède (token matériel, téléphone avec application d’authentification, carte à puce) et ce que l’on est (biométrie). Combiner deux facteurs de la même catégorie — deux mots de passe par exemple — n’est pas de la MFA.
La MFA est le contrôle le plus efficace contre le vol d’identifiants : voler le mot de passe ne suffit plus. Mais toutes les MFA ne se valent pas. Hiérarchie de force, du plus faible au plus fort :
- Code SMS à usage unique. Vulnérable au SIM-swap et à l’interception SS7. Le NIST déconseille le SMS comme facteur principal depuis la révision de 2017 de 800-63B.
- Application TOTP (Google Authenticator, Authy, 1Password). Hameçonnable — une fausse page de connexion peut demander le code et le rejouer dans la fenêtre de 30 secondes.
- MFA push (Duo, Microsoft Authenticator, Okta Verify). Pratique mais vulnérable à la fatigue MFA — l’attaquant inonde l’utilisateur de notifications jusqu’à ce qu’une soit approuvée.
- FIDO2 / passkeys et clés de sécurité physiques (YubiKey, Titan). Liées cryptographiquement au domaine d’origine ; résistantes au phishing par conception. Seule catégorie classée par le NIST comme résistante à l’usurpation du vérifieur.
Le mode de défaillance dominant en 2024-2026 n’est plus « les utilisateurs n’ont pas activé la MFA » — c’est la fatigue MFA, où les notifications push sont approuvées par automatisme, et les kits de phishing adversary-in-the-middle (Evilginx, Tycoon) qui relaient l’intégralité du flux d’authentification, code TOTP inclus. La CISA, l’ANSSI et le NCSC britannique ont publié entre 2023 et 2025 des avis recommandant la migration du push et du TOTP vers FIDO2 pour les comptes à enjeu. La MFA seule n’est plus la ligne d’arrivée ; la MFA résistante au phishing l’est.
Termes liés
- Single Sign-On (SSO)Architecture d'authentification où un fournisseur d'identité unique émet les jetons donnant accès à de multiples applications, réduisant la surface d'identifiants mais concentrant le rayon d'impact.
- FIDO2 / PasskeysStandards d'authentification ouverts s'appuyant sur la cryptographie asymétrique liée au terminal pour offrir une connexion résistante au phishing — la réponse pratique à la fatigue MFA et au phishing adversary-in-the-middle.
- Fatigue MFAAttaque d'ingénierie sociale qui sature un utilisateur de notifications push MFA jusqu'à ce qu'il valide par lassitude ou confusion.
- Credential stuffingAttaque automatisée qui rejoue des paires identifiant/mot de passe issues de fuites tierces contre des services sans rapport, exploitant la réutilisation pour prendre le contrôle de comptes à grande échelle.
- Réutilisation de mots de passePratique consistant à utiliser le même mot de passe — ou des variantes quasi identiques — sur plusieurs services, transformant une fuite isolée en compromission multi-comptes par credential stuffing.