Comment fonctionne le MFA
Le principe : prouver son identité de plusieurs manières
L’authentification traditionnelle repose sur un seul facteur : le mot de passe. Le problème est connu : les mots de passe sont volés par phishing, récupérés dans des fuites de données et réutilisés par credential stuffing. Un mot de passe seul ne prouve plus rien.
Le MFA ajoute un ou plusieurs facteurs d’authentification issus de catégories différentes. L’idée est simple : même si l’attaquant obtient le mot de passe, il lui manque le deuxième élément pour se connecter.
Les trois catégories de facteurs
Ce que l’utilisateur sait (facteur de connaissance) Le mot de passe, le code PIN, la réponse à une question secrète. C’est le facteur le plus courant et aussi le plus vulnérable : il peut être deviné, volé ou intercepté.
Ce que l’utilisateur possède (facteur de possession) Un smartphone avec une application d’authentification, une clé de sécurité physique (YubiKey, Titan), une carte à puce. L’attaquant devrait voler physiquement l’objet pour l’utiliser.
Ce que l’utilisateur est (facteur d’inhérence) L’empreinte digitale, la reconnaissance faciale, la reconnaissance vocale. Ces facteurs biométriques sont liés au corps de l’utilisateur et ne peuvent pas être transmis à un tiers.
Le flux d’authentification MFA
- L’utilisateur saisit son identifiant et son mot de passe (facteur de connaissance)
- Le serveur vérifie que le mot de passe est correct
- Le serveur demande un deuxième facteur — par exemple, un code sur l’application d’authentification (facteur de possession)
- L’utilisateur fournit le code
- Le serveur vérifie le code et accorde l’accès
La force du MFA vient de la combinaison de catégories différentes. Deux mots de passe ne constituent pas du MFA — c’est deux fois le même type de facteur. En revanche, un mot de passe + un code TOTP sur l’application Authenticator combine connaissance et possession : deux catégories distinctes que l’attaquant doit compromettre simultanément.
Les types de MFA
Tous les facteurs MFA ne se valent pas. Le choix du type a un impact direct sur la sécurité et l’expérience utilisateur.
SMS et appels vocaux
Le serveur envoie un code à usage unique par SMS ou par appel vocal au numéro de téléphone enregistré. L’utilisateur saisit le code pour valider la connexion.
| Avantage | Limite |
|---|---|
| Simple à mettre en place | Vulnérable au SIM swapping (l’attaquant fait transférer le numéro sur sa SIM) |
| Aucune application à installer | Interception possible via des failles du protocole SS7 |
| Familier pour les utilisateurs | Le code peut être récupéré par ingénierie sociale (l’attaquant appelle en se faisant passer pour le support) |
Le NIST déconseille le SMS comme facteur d’authentification depuis 2017 (SP 800-63B). C’est mieux que rien, mais c’est le maillon faible des options MFA disponibles.
Applications d’authentification (TOTP)
Les applications comme Microsoft Authenticator, Google Authenticator ou Authy génèrent un code à 6 chiffres qui change toutes les 30 secondes. Le code est calculé localement sur l’appareil à partir d’un secret partagé — il ne transite pas par le réseau, ce qui élimine le risque d’interception.
| Avantage | Limite |
|---|---|
| Pas de dépendance au réseau mobile | Si l’utilisateur perd son téléphone, l’accès est bloqué (prévoir une procédure de récupération) |
| Résistant au SIM swapping | Le code TOTP peut être intercepté par une attaque AiTM en temps réel |
| Gratuit et disponible sur iOS/Android | Nécessite que l’utilisateur installe une application sur son téléphone |
C’est le standard recommandé pour la plupart des entreprises. Le bon équilibre entre sécurité et praticité.
Notifications push
Au lieu de saisir un code, l’utilisateur reçoit une notification sur son téléphone et appuie sur “Approuver”. C’est le mode par défaut de Microsoft Authenticator et de Duo.
| Avantage | Limite |
|---|---|
| Expérience utilisateur fluide (un seul appui) | Vulnérable au MFA fatigue : l’attaquant bombarde l’utilisateur de notifications jusqu’à ce qu’il approuve par réflexe |
| Plus rapide que la saisie d’un code | Nécessite une connexion internet sur le téléphone |
| Affiche le contexte de la connexion (application, localisation) | L’approbation accidentelle est possible en cas de lassitude |
Parade au MFA fatigue : le number matching. Microsoft et d’autres fournisseurs proposent désormais le “number matching” : au lieu d’appuyer simplement sur “Approuver”, l’utilisateur doit saisir un nombre affiché sur l’écran de connexion. Cela empêche l’approbation aveugle, car l’attaquant ne connaît pas le nombre affiché sur l’écran légitime de l’utilisateur.
Clés de sécurité FIDO2 et passkeys
Les clés FIDO2 (YubiKey, Google Titan, Feitian) et les passkeys (intégrées à Windows Hello, Touch ID d’Apple, empreintes Android) utilisent la cryptographie asymétrique. Lors de l’authentification, la clé prouve son identité au serveur via un échange cryptographique — aucun code n’est transmis, rien ne peut être intercepté.
| Avantage | Limite |
|---|---|
| Résistant au phishing (la clé vérifie le domaine du site — un faux site ne reçoit pas la réponse cryptographique) | Coût : 25 à 70 euros par clé physique |
| Résistant aux attaques AiTM | Risque de perte (prévoir une clé de secours) |
| Aucun code à saisir, aucune notification à approuver | Déploiement plus complexe que les apps d’authentification |
| Standard ouvert (FIDO Alliance) | Compatibilité variable selon les services |
Les clés FIDO2 sont le seul facteur MFA qui résiste aux attaques de phishing en temps réel (AiTM). Pour les comptes à haut risque — administrateurs système, direction financière — c’est le niveau de protection le plus élevé.
MFA et phishing : une relation complexe
Ce que le MFA bloque
Le MFA bloque la majorité des attaques d’identifiants. Un attaquant qui récupère un mot de passe par phishing ou par credential stuffing se heurte au deuxième facteur. Selon Microsoft, le MFA bloque 99,9 % des attaques automatisées sur les comptes. Le chiffre concerne les attaques automatisées (bots de credential stuffing, spraying de mots de passe) — pas les attaques ciblées.
Les attaques qui contournent le MFA
Le MFA fatigue (prompt bombing)
L’attaquant a déjà le mot de passe de la victime (obtenu par phishing ou fuite de données). Il tente de se connecter au compte et déclenche une notification push MFA. L’utilisateur refuse. L’attaquant réessaie. Et encore. Et encore — parfois des dizaines de fois, souvent au milieu de la nuit. Par lassitude ou par confusion, l’utilisateur finit par appuyer sur “Approuver”.
C’est exactement ce qui s’est passé lors de la compromission d’Uber en septembre 2022. Un attaquant du groupe Lapsus$ a bombardé un employé de notifications MFA jusqu’à obtenir une validation, puis a accédé aux systèmes internes d’Uber.
Parade : activer le number matching (l’utilisateur doit saisir un nombre affiché à l’écran) et limiter le nombre de tentatives MFA par session.
Le phishing AiTM (Adversary-in-the-Middle)
Les attaques AiTM utilisent un serveur proxy qui se positionne entre l’utilisateur et le vrai site de connexion. L’utilisateur pense se connecter à Microsoft 365, mais il est en réalité sur un site intermédiaire contrôlé par l’attaquant. Quand l’utilisateur saisit son mot de passe puis son code MFA, le proxy transmet les deux au vrai serveur Microsoft 365 en temps réel, récupère le jeton de session, et l’utilise pour se connecter à la place de l’utilisateur.
Des kits de phishing comme EvilProxy et Evilginx rendent ces attaques accessibles à des attaquants peu qualifiés. Selon le rapport DBIR 2024 de Verizon, l’utilisation de proxys de phishing en temps réel est en augmentation.
Parade : utiliser des clés FIDO2 ou des passkeys, qui vérifient le domaine du site et ne répondent pas à un proxy. Déployer des politiques d’accès conditionnel qui vérifient l’état de l’appareil et la géolocalisation.
Le SIM swapping
L’attaquant contacte l’opérateur téléphonique de la victime (Orange, SFR, Bouygues, Free) et se fait passer pour elle. Il demande le transfert du numéro de téléphone vers une nouvelle carte SIM — la sienne. Une fois le transfert effectué, il reçoit les SMS destinés à la victime, y compris les codes MFA.
En France, la CNIL documente régulièrement des plaintes liées au SIM swapping, qui touche aussi bien les particuliers que les employés d’entreprise.
Parade : ne pas utiliser le SMS comme facteur MFA. Passer aux applications d’authentification ou aux clés FIDO2.
Le MFA ne remplace pas la sensibilisation
Le MFA protège l’accès. Mais en amont, c’est l’utilisateur qui décide de cliquer ou non sur le lien de phishing. Un employé qui reconnaît un email frauduleux et le signale empêche l’attaque avant même que le MFA n’entre en jeu. Les deux protections — technique (MFA) et humaine (sensibilisation) — se complètent. Le Zero Trust combine les deux.
Déployer le MFA dans votre entreprise
Phase 1 : audit et priorisation
Avant d’activer le MFA, identifiez les comptes les plus à risque :
- Comptes administrateurs (Microsoft 365, Google Workspace, serveurs, pare-feu) : un admin compromis donne accès à tout le système d’information
- Email : la messagerie est le point d’entrée du phishing et la cible du BEC (Business Email Compromise)
- VPN : l’accès VPN donne un pied dans le réseau interne
- Applications financières : ERP, logiciel de comptabilité, plateforme bancaire
- CRM et bases clients : les données clients sont soumises au RGPD
Commencez par ces comptes. Ensuite, étendez le MFA à l’ensemble des utilisateurs.
Phase 2 : choix de la méthode
| Niveau de risque | Méthode recommandée |
|---|---|
| Comptes administrateurs | Clé FIDO2 (YubiKey) — résistant au phishing |
| Direction / Finance | Application d’authentification avec number matching |
| Tous les employés | Application d’authentification (Microsoft Authenticator, Google Authenticator) |
| Comptes de service | Certificats ou tokens API — pas de MFA interactif |
Évitez le SMS sauf en dernier recours pour les employés qui n’ont pas de smartphone compatible.
Phase 3 : déploiement progressif
Microsoft 365
- Activez les Security Defaults pour imposer le MFA à tous les utilisateurs immédiatement
- Pour un contrôle plus granulaire, désactivez les Security Defaults et créez des stratégies d’accès conditionnel (nécessite Microsoft Entra ID P1 ou Microsoft 365 Business Premium)
- Activez le number matching dans Microsoft Authenticator pour contrer le MFA fatigue
- Bloquez les méthodes d’authentification héritées (Legacy Authentication) qui ne supportent pas le MFA
Google Workspace
- Dans la console d’administration, activez la validation en deux étapes et imposez-la à l’ensemble des utilisateurs
- Définissez un délai d’inscription (par exemple, 7 jours pour que les utilisateurs configurent leur deuxième facteur)
- Pour les administrateurs, exigez des clés de sécurité (Google Titan ou YubiKey)
Phase 4 : gestion des exceptions
Certains cas nécessitent une attention spécifique :
- Employés sans smartphone : fournissez une clé de sécurité physique (30-50 euros par clé, c’est un investissement qui vaut la protection)
- Comptes de service (applications qui se connectent automatiquement) : utilisez des certificats, des identités managées ou des tokens API au lieu du MFA interactif
- Procédure de récupération : quand un employé perd son téléphone ou sa clé, la procédure de réinitialisation du MFA doit être aussi sécurisée que l’authentification elle-même. Exigez une vérification d’identité (en personne ou par vidéo avec le manager) avant de réinitialiser le MFA d’un compte.
Les chiffres
Le MFA bloque la majorité des attaques automatisées
Selon Microsoft, le MFA bloque 99,9 % des attaques automatisées sur les comptes (credential stuffing, password spraying). Ce chiffre ne couvre pas les attaques ciblées (AiTM, MFA fatigue), mais il reflète la réalité de la majorité des tentatives d’accès non autorisé.
Les identifiants volés restent le premier vecteur d’attaque
Le rapport DBIR 2024 de Verizon indique que les identifiants compromis sont impliqués dans plus de 40 % des violations de données. Le phishing et le credential stuffing sont les deux méthodes principales de vol d’identifiants. Le MFA neutralise l’utilisation de ces identifiants volés.
Le coût d’une violation de données
Selon le rapport IBM Cost of a Data Breach 2024, le coût moyen d’une violation de données a atteint 4,88 millions de dollars au niveau mondial. En France, les sanctions prononcées par la CNIL pour défaut de protection des données montrent que le non-respect des bonnes pratiques de sécurité a un coût réglementaire direct.
L’adoption du MFA en entreprise
L’adoption progresse mais reste insuffisante. Un rapport de Thales sur la sécurité des données 2024 montre que seule la moitié des entreprises a déployé le MFA sur l’ensemble de ses comptes. Parmi les PME, le taux est plus bas encore — beaucoup protègent les comptes administrateurs mais pas les utilisateurs standards.
Les exigences réglementaires
- NIS2 : la directive européenne impose aux entités essentielles et importantes des mesures d’authentification forte, dont le MFA fait partie
- RGPD : la CNIL considère le MFA comme une mesure technique appropriée au sens de l’article 32 (sécurité du traitement)
- Assurances cyber : la majorité des assureurs français exigent le MFA comme condition de couverture. Un sinistre lié à un compte non protégé par MFA peut entraîner un refus d’indemnisation
Le MFA protège l’accès, la sensibilisation protège le clic. Testez la vigilance de vos équipes avec notre simulation de phishing et identifiez les collaborateurs qui ont besoin d’un accompagnement.
Questions fréquentes
C'est quoi le MFA en sécurité informatique ?
Le MFA (Multi-Factor Authentication, ou authentification multifacteur) demande à l'utilisateur de prouver son identité de deux manières ou plus avant d'accéder à un compte. Par exemple, entrer un mot de passe (ce qu'il sait) puis valider une notification sur son téléphone (ce qu'il possède). L'idée : même si un attaquant vole le mot de passe, il ne peut pas se connecter sans le deuxième facteur.
Quelle est la différence entre 2FA et MFA ?
Le 2FA (Two-Factor Authentication) désigne spécifiquement l'utilisation de deux facteurs d'authentification. Le MFA (Multi-Factor Authentication) englobe deux facteurs ou plus. En pratique, les deux termes sont souvent utilisés de manière interchangeable, car la plupart des déploiements demandent exactement deux facteurs (mot de passe + un deuxième élément).
Le MFA est-il obligatoire pour les entreprises ?
Pas de manière universelle, mais la tendance est à l'obligation. La directive européenne NIS2 impose aux entités essentielles et importantes de mettre en œuvre des mesures d'authentification forte. Les assurances cyber exigent de plus en plus le MFA comme condition de couverture. L'ANSSI le recommande systématiquement dans ses guides de bonnes pratiques.
Comment déployer le MFA sur Microsoft 365 ?
Méthode rapide : activez les Security Defaults dans Microsoft Entra ID — le MFA est imposé à tous les utilisateurs. Pour un contrôle plus fin, configurez des stratégies d'accès conditionnel (disponibles avec Microsoft 365 Business Premium). Privilégiez l'application Microsoft Authenticator avec number matching plutôt que les SMS, qui sont vulnérables au SIM swapping.
Le MFA peut-il être contourné ?
Oui, de trois manières principales. Le MFA fatigue : l'attaquant déclenche des dizaines de notifications push jusqu'à ce que l'utilisateur valide par lassitude. Le phishing AiTM (Adversary-in-the-Middle) : un proxy en temps réel capture le code MFA au moment où l'utilisateur le saisit. Le SIM swapping : l'attaquant convainc l'opérateur téléphonique de transférer le numéro de la victime sur sa propre carte SIM. Les parades : activer le number matching, utiliser des clés FIDO2 résistantes au phishing, abandonner le SMS comme facteur.