Double authentification MFA : est-elle vraiment sûre ?
La double authentification, aussi appelée MFA pour Multi-Factor Authentication, est devenue une mesure de sécurité essentielle pour protéger les comptes professionnels. Elle consiste à demander une seconde preuve d’identité en plus du mot de passe : code temporaire, notification sur téléphone, application d’authentification, clé physique ou validation biométrique.
Pour une PME, la MFA est une protection importante. Elle réduit fortement le risque qu’un mot de passe volé permette à lui seul d’accéder à une messagerie, un espace Microsoft 365, un compte Google, un logiciel métier, un VPN ou une plateforme de gestion.
Mais il faut être clair : la double authentification n’est pas une protection magique.
Elle améliore la sécurité, mais elle ne rend pas un compte invulnérable.
Pourquoi la double authentification reste utile
Dans beaucoup d’attaques, le mot de passe est le premier point faible. Il peut être deviné, réutilisé sur plusieurs sites, récupéré dans une fuite de données ou volé par phishing.
Sans double authentification, un attaquant qui possède le mot de passe peut parfois se connecter directement au compte.
Avec la MFA, il lui manque une deuxième validation. C’est ce qui rend l’attaque plus difficile. Même si le mot de passe est compromis, l’accès peut être bloqué.
C’est pour cette raison que la double authentification doit être activée en priorité sur les comptes sensibles : messagerie professionnelle, comptes administrateurs, accès distants, outils de gestion, sauvegardes cloud, banque en ligne, plateformes clients et comptes de direction.
Pourquoi la double authentification peut être contournée
Le problème vient souvent d’une idée trop simple : croire que la MFA suffit à tout sécuriser. En réalité, certaines attaques cherchent à contourner ou détourner cette seconde étape.
Le phishing moderne ne se contente plus toujours de voler un mot de passe. Certaines fausses pages de connexion sont capables de récupérer le mot de passe et le code MFA presque en temps réel. L’utilisateur pense se connecter à un service légitime, alors qu’il transmet ses informations à l’attaquant.
Il existe aussi des attaques dites de “fatigue MFA”. L’attaquant tente de se connecter plusieurs fois avec un mot de passe compromis, ce qui déclenche des notifications répétées sur le téléphone de la victime. Par lassitude ou par erreur, l’utilisateur finit parfois par valider une connexion qu’il n’a pas initiée.
Un autre risque concerne le vol de session. Dans certains cas, l’attaquant ne cherche pas seulement le mot de passe ou le code. Il tente de récupérer le jeton de session déjà validé, ce qui peut lui permettre d’accéder au compte sans refaire immédiatement toute l’authentification.
Enfin, certaines failles ne visent pas directement l’utilisateur, mais les services autour du compte : API mal sécurisées, procédures de récupération faibles, support technique manipulé, téléphone compromis ou carte SIM détournée.
La double authentification par SMS : mieux que rien, mais pas idéale
Recevoir un code par SMS est préférable à l’absence totale de double authentification. Mais ce n’est pas la méthode la plus robuste.
Le SMS peut être exposé à plusieurs risques : interception, changement frauduleux de carte SIM, téléphone perdu, message visible sur l’écran verrouillé ou transfert involontaire.
Pour une entreprise, il est préférable d’utiliser une application d’authentification, une notification sécurisée avec contrôle du numéro affiché, ou mieux encore une clé physique de sécurité pour les comptes les plus sensibles.
Les bons réflexes pour une PME
La double authentification doit faire partie d’une stratégie plus large.
Il faut d’abord identifier les comptes critiques. Tous les comptes ne présentent pas le même risque. Les comptes administrateurs, les boîtes mail de direction, les accès VPN, les comptes Microsoft 365 ou Google Workspace et les outils de sauvegarde doivent être traités en priorité.
Ensuite, il faut choisir une méthode MFA adaptée. Pour les utilisateurs classiques, une application d’authentification peut être suffisante. Pour les comptes administrateurs ou les accès sensibles, une clé de sécurité physique peut être plus appropriée.
Il faut aussi former les utilisateurs. Une notification MFA inattendue ne doit jamais être validée par réflexe. Si un utilisateur reçoit une demande de validation alors qu’il n’a pas tenté de se connecter, il doit la refuser et prévenir rapidement la personne en charge de l’informatique.
La supervision est également importante. Une entreprise doit pouvoir repérer les connexions inhabituelles : pays étranger, horaire anormal, appareil inconnu, tentatives répétées, échecs multiples ou validation MFA suspecte.
Enfin, la MFA ne remplace pas les autres protections. Les mots de passe doivent rester solides et uniques. Les comptes administrateurs doivent être limités. Les sauvegardes doivent être protégées. Les postes doivent être maintenus à jour. Les accès distants doivent être surveillés.
La bonne conclusion : indispensable, mais pas suffisante
La double authentification est une mesure très utile. Elle doit être activée partout où c’est possible, surtout sur les comptes professionnels sensibles.
Mais elle ne doit pas donner un faux sentiment de sécurité.
Une PME qui active la MFA fait un vrai progrès. Mais elle doit aussi vérifier ses sauvegardes, ses droits utilisateurs, ses accès distants, ses postes de travail, ses outils cloud et la formation de ses équipes.
La cybersécurité ne repose pas sur une seule barrière. Elle repose sur plusieurs protections complémentaires, capables de limiter les erreurs, de ralentir les attaques et de permettre une réaction rapide en cas d’incident.
Chez Cyber-LID, l’objectif est d’aider les petites entreprises à mettre en place ces protections de manière progressive, compréhensible et adaptée à leurs usages réels.
-> liens utiles :
Sécurité informatique pour PME : https://cyber-lid.com/securite-informatique/
Sensibilisation des utilisateurs aux risques numériques : https://cyber-lid.com/formations-securite-informatique/
