Un dirigeant de Microsoft exhorte les entreprises à abandonner la méthode d'authentification à facteurs multiples (MFA) la plus généralement utilisée - les codes d'accès uniques envoyés aux terminaux mobiles par texte ou par voix - au profit d'autres méthodes, notamment des apps d’authentifications, qui, selon le responsable, sont plus sûres. «Il est temps d’abandonner les mécanismes d'authentification multi-facteurs (MFA) par SMS et vocaux », a affirmé Alex Weinert, directeur de la sécurité des identités, dans un message posté le 10 novembre sur un blog de l’entreprise.

« Ces mécanismes sont basés sur les réseaux téléphoniques publics commutés (RTC), et ils sont moins sûrs que d‘autres méthodes d'authentification multi-facteurs disponibles aujourd'hui ». Parmi les autres méthodes plus sûres préconisées par Alex Weinert, ce dernier a mentionné Microsoft Authenticator, l'authentificateur basé sur l'application de Microsoft, et Windows Hello, la dénomination générique de sa technologie biométrique utilisée pour la reconnaissance faciale et la vérification des empreintes digitales.

Des failles dans les envois de code par SMS ou messages vocaux

Il n’est pas surprenant de voir M. Weinert vanter des technologies promues de manière intensive par Microsoft pour convaincre les entreprises à adopter un système d’authentification sans mot de passe. Il y a plus d'un an, M. Weinert avait expliqué que, selon lui, «les mots de passe ne suffisaient pas à eux seuls à protéger contre le vol d'identité et qu'une authentification multi-facteur permettait d’éviter à plus de 99,9 % le piratage de son compte ». Il n'a pas changé d’avis et son conseil reste toujours valable, mais la position de Microsoft sur l'authentification multi-facteurs est désormais plus restrictive.

« L'authentification multi-facteurs est essentielle, et il ne s’agit pas ici de remettre en cause son utilisation, mais plutôt de discuter de la méthode la plus appropriée », a-t-il écrit la semaine dernière. M. Weinert a mentionné plusieurs failles de sécurité potentielles dans la MFA par SMS et par voix, une technique qui consiste généralement à envoyer un code à six chiffres à un numéro de téléphone prédéterminé et vérifié. Selon M. Weinert, «un défaut de cryptage (les textes sont envoyés en clair), la présence d’une vulnérabilité et l'ingénierie sociale rendent cette solution vulnérable » 

Une promotion d'Authenticator

Weinert a affirmé qu’une authentification basée sur l'application est beaucoup plus sûre pour atteindre les objectifs de la MFA. Il a ensuite vanté les mérites d'Authenticator, disponible pour les systèmes Android de Google et iOS d'Apple. Ce service permet de chiffrer les communications, de reconnaître les visages et les empreintes digitales, et aux utilisateurs de s'authentifier en toute sécurité, ce que ne font pas, par exemple, les ordinateurs portables fournis par leur entreprise. La solution prend également en charge les codes d'accès à usage unique, reproduisant ainsi le mécanisme de l’authentification multi-facteur basée sur les SMS, mais en mode chiffre de bout en bout.

Dans une certaine mesure, Microsoft a mis ses politiques en pratique. Depuis l'année dernière, la firme de Redmond applique aux derniers abonnés Office 365 et Microsoft 365 des paramètres de sécurité par défaut imposant à chaque utilisateur de s'authentifier par le biais de l’authentification multi-facteur. Et c’est l’app Microsoft Authenticator qui sert de méthode MFA par défaut.