Microsoft demande, là où c’est possible, de ne pas recourir à la vérification à deux facteurs par SMS. Le système est cependant encore et toujours plus sûr que le seul mot de passe.
Alex Weinert, en charge de l’Identity Security chez Microsoft, invite les utilisateurs dans un communiqué posté sur un blog du site de l’entreprise à ne pas utiliser, là où c’est possible, l’authentification à deux facteurs par SMS. Ces messages peuvent en effet être interceptés.
Weinert plaide depuis assez longtemps déjà pour une vérification multi-facteur, par laquelle l’utilisateur a besoin d’un mot de passe, mais par exemple aussi d’une clé matérielle, d’une appli ou d’un SMS pour se connecter. Selon lui, ce système s’oppose à plus de 99 pour cent des tentatives d’hameçonnage (‘phishing’) et d’intrusion sur les comptes Microsoft. Mais toutes les formes de vérification à deux facteurs ne sont aussi sûres, écrit-il encore.
Avec un contrôle à deux facteurs, par lequel l’utilisateur reçoit une clé supplémentaire par SMS ou par un message dicté, il y a encore un petit risque que le message soit intercepté, parce qu’il est envoyé via des réseaux téléphoniques publics. Les clés sont expédiées sous la forme de texte non crypté, parce qu’il est particulièrement malaisé de crypter des SMS. Le délai prévu pour les clés envoyées de la sorte est en outre assez long, ce qui fait qu’on a davantage le temps d’intercepter une procédure de login.
Que faut-il faire alors? Si vous avez le choix, optez pour une clé de sécurité physique, comme par exemple les clés USB Yubico ou Google, ou pour une appli. Ce type d’appli d’authentification, vous l’installez sur votre smartphone et vous la liez à votre compte. Quiconque souhaitera ensuite se connecter à ce compte, aura dès lors besoin tant du mot de passe lié à ce dernier que du code sur votre smartphone. Google et Microsoft proposent des applis d’authentification faciles à utiliser.
Par souci de clarté, sachez que le contrôle multi-facteur s’avère toujours plus sûr qu’un système faisant appel au seul mot de passe et ce, pour le simple raison qu’il faut accomplir un pas supplémentaire pour aboutir à un compte. L’authentification à deux facteurs par SMS est donc encore et toujours une meilleure option qu’un simple mot de passe, mais si cela est possible, il est préférable d’opter pour l’un des autres systèmes.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici