Authentification multifacteur

L'authentification multifacteur (AMF), également désignée par les sigles MFA (Multi-Factor Authentication) ou 2FA (Two-Factor Authentication) lorsqu'elle implique exactement deux facteurs, est un mécanisme de contrôle d'accès exigeant qu'un utilisateur fournisse au moins deux preuves distinctes de son identité avant d'accéder à un système informatique, une application ou un service numérique. Standardisée dans la publication SP 800-63B (2017) du NIST (National Institute of Standards and Technology), l'AMF réduit le risque de compromission de compte de l'ordre de 99,9 % par rapport à l'authentification par mot de passe seul, selon les données publiées par Microsoft en 2019. Elle constitue un pilier fondamental de la cybersécurité et de la gestion des identités et des accès.

L'authentification multifacteur repose sur la combinaison d'au moins deux catégories de facteurs parmi les suivantes :

• Facteur de connaissance (something you know) : information mémorisée par l'utilisateur — mot de passe, code PIN, réponse à une question secrète.
• Facteur de possession (something you have) : objet physique ou logiciel détenu par l'utilisateur — téléphone mobile, clé de sécurité matérielle, carte à puce, token OTP.
• Facteur d'inhérence (something you are) : caractéristique biométrique propre à l'individu — empreinte digitale, reconnaissance faciale, iris, voix.
• Facteur de localisation ou de contexte : adresse IP, géolocalisation GPS, plage horaire — utilisé dans les systèmes d'authentification adaptative (risk-based authentication).

La combinaison la plus répandue associe un facteur de connaissance (mot de passe) et un facteur de possession (code OTP reçu sur smartphone). L'expression « authentification à deux facteurs » (2FA) désigne spécifiquement cette configuration à deux facteurs distincts ; l'AMF est plus générale et englobe les configurations à trois facteurs ou plus.

Le standard HOTP (HMAC-based One-Time Password, RFC 4226, publié en décembre 2005) génère des mots de passe à usage unique basés sur un compteur partagé entre le client et le serveur, à l'aide d'un algorithme HMAC-SHA1. Son successeur, le TOTP (Time-based One-Time Password, RFC 6238, mai 2011), remplace le compteur par un horodatage synchronisé, produisant un code valable typiquement 30 secondes. Ces deux protocoles forment la base technique de la plupart des applications d'authentification modernes (Google Authenticator, Authy, Microsoft Authenticator, FreeOTP).

FIDO2, développé par l'Alliance FIDO (Fast IDentity Online) et standardisé par le W3C sous la spécification WebAuthn (W3C Recommendation de mars 2019), constitue une évolution majeure : il permet une authentification forte sans secret partagé côté serveur. Le serveur ne stocke qu'une clé publique ; la clé privée reste confinée dans le dispositif de l'utilisateur (clé de sécurité matérielle ou module TPM intégré à l'appareil). FIDO2 est résistant aux attaques de hameçonnage car les clés sont cryptographiquement liées au domaine d'origine enregistré lors de l'enrôlement.

Les protocoles OAuth 2.0 (RFC 6749, octobre 2012) et OpenID Connect (OIDC, spécification publiée en février 2014) ne définissent pas en eux-mêmes la MFA, mais fournissent le cadre de délégation d'autorisation et d'authentification fédérée au sein duquel la MFA est déclenchée par un fournisseur d'identité (IdP). La valeur amr (Authentication Methods References, définie dans le RFC 8176) indique dans le jeton JWT les méthodes d'authentification utilisées, permettant au service client de vérifier qu'une MFA a été effectivement réalisée.

L'envoi d'un code à usage unique par SMS est la forme historiquement la plus répandue de second facteur. Simple à déployer et ne nécessitant aucune application tierce, elle souffre cependant de vulnérabilités reconnues. Le NIST a retiré le SMS de sa liste de méthodes d'authentification recommandées dès 2016 (publication SP 800-63B), en raison des attaques de SIM swapping, des interceptions via les failles du protocole SS7 et des redirections de numéros frauduleuses.

Les applications génératrices de codes TOTP (Google Authenticator, Microsoft Authenticator, Authy, FreeOTP) produisent des codes numériques à 6 ou 8 chiffres renouvelés toutes les 30 secondes. Elles fonctionnent hors ligne et ne dépendent pas du réseau téléphonique. La configuration initiale s'effectue par scan d'un QR code contenant le secret partagé (shared secret) encodé en base32, conformément à la spécification RFC 6238.

Les clés de sécurité matérielles (YubiKey de Yubico, Nitrokey, Google Titan Key) implémentent les protocoles FIDO2/WebAuthn ou le standard antérieur FIDO U2F. Connectées via USB-A, USB-C ou NFC, elles génèrent cryptographiquement une réponse à un défi (challenge-response) sans jamais exposer la clé privée à l'ordinateur hôte. L'ANSSI les recommande pour les comptes à haute valeur — administrateurs systèmes, dirigeants, accès aux infrastructures critiques — dans son guide sur l'authentification publié en 2021.

La biométrie (empreinte digitale, reconnaissance faciale via Windows Hello ou Touch ID d'Apple) est employée comme facteur d'inhérence, généralement combiné au facteur de possession que constitue l'appareil lui-même. Les données biométriques sont traitées localement sur l'appareil (on-device matching) selon la spécification FIDO2 : elles ne sont jamais transmises au serveur distant, ce qui les différencie fondamentalement des anciens systèmes biométriques centralisés.

Des solutions comme Duo Security (Cisco) ou Microsoft Authenticator proposent l'authentification par notification push : l'utilisateur approuve ou refuse une tentative de connexion depuis son smartphone. Cette méthode est plus conviviale que la saisie manuelle d'un code OTP, mais elle est vulnérable aux attaques par fatigue MFA (MFA fatigue ou MFA bombing), illustrées notamment lors de la compromission de l'infrastructure interne d'Uber en septembre 2022.

La conformité au RGPD (Règlement (UE) 2016/679, entré en application le 25 mai 2018) est directement concernée par les déploiements MFA utilisant la biométrie. L'article 9 du règlement classe les données biométriques permettant l'identification unique d'une personne parmi les catégories de données sensibles, soumises à des conditions de traitement restrictives (consentement explicite ou nécessité dans un contexte professionnel ou de sécurité).

La Directive NIS2 (Network and Information Security 2, adoptée par le Parlement européen le 10 novembre 2022, transposition nationale fixée au 17 octobre 2024) impose aux entités essentielles et aux entités importantes des mesures de gestion du risque cyber comprenant expressément l'authentification forte (article 21, paragraphe 2). La directive élargit le champ d'application à environ 160 000 entités dans l'Union européenne, contre 2 000 entités relevant de la directive NIS initiale (directive 2016/1148/UE).

Le règlement DORA (règlement (UE) 2022/2554, applicable depuis le 17 janvier 2025) exige des entités financières européennes — banques, assurances, prestataires de services de paiement, infrastructures de marché — des contrôles d'accès robustes intégrant la MFA pour les accès aux systèmes d'information critiques et pour toutes les connexions d'administrateurs à distance.

La norme ISO/IEC 27001 (révision 2022, publiée en octobre 2022) intègre le contrôle A.8.5 (Secure authentication), qui recommande l'authentification multifacteur pour tous les accès aux actifs informationnels sensibles, en particulier pour les accès distants, les accès privilégiés et les services exposés sur Internet. La MFA est également un critère fréquent dans les questionnaires d'évaluation des prestataires dans le cadre des audits de conformité.

L'ANSSI publie depuis 2021 un guide intitulé « Recommandations relatives à l'authentification multifacteur et aux mots de passe », classant les solutions MFA selon trois niveaux de robustesse en fonction de la sensibilité des actifs protégés. Au niveau le plus élevé, seules les clés de sécurité matérielles conformes à FIDO2 et les cartes à puce certifiées sont acceptées.

FranceConnect, le dispositif d'identité numérique géré par la Direction interministérielle du numérique (DINUM), propose depuis 2022 une offre FranceConnect+ avec authentification forte obligatoire pour l'accès aux services administratifs les plus sensibles (données fiscales détaillées, actes d'état civil, justificatifs d'identité). FranceConnect+ s'appuie sur des fournisseurs d'identité certifiés eIDAS (La Poste avec L'Identité Numérique, MobileConnect) offrant une assurance d'identité de niveau « substantiel » ou « élevé » au sens du règlement eIDAS (règlement (UE) 910/2014).

La deuxième directive européenne sur les services de paiement (DSP2, directive 2015/2366/UE, transposée en France et applicable depuis le 14 septembre 2019) a rendu obligatoire l'authentification forte du client (Strong Customer Authentication, SCA) pour les paiements en ligne dépassant 30 euros et les connexions aux espaces bancaires en ligne. Les premières évaluations publiées par la Banque de France font état d'une réduction de la fraude au paiement en ligne de l'ordre de 30 % à 50 % dans les 18 mois suivant l'entrée en vigueur effective.

Malgré son efficacité documentée, l'authentification multifacteur est exposée à plusieurs vecteurs de compromission :

• SIM swapping : l'attaquant convainc l'opérateur téléphonique de transférer le numéro de téléphone de la victime vers une carte SIM qu'il contrôle, interceptant ainsi les SMS OTP. Le FBI a documenté des pertes liées à cette technique dépassant 68 millions de dollars pour la seule année 2021 aux États-Unis.
• Hameçonnage en temps réel : des outils comme Evilginx2 ou Modlishka fonctionnent comme proxys inverses — ils capturent le code OTP saisi par la victime et le transmettent immédiatement au service cible avant son expiration. FIDO2 est la seule technologie couramment déployée résistant structurellement à ce type d'attaque, les clés étant liées au domaine exact enregistré lors de l'enrôlement.
• Fatigue MFA : envoi répété de notifications push jusqu'à acceptation involontaire. Documentée lors de la compromission d'Uber en septembre 2022, où un prestataire externe a finalement accepté une notification après plusieurs dizaines de sollicitations.
• Compromission du processus de récupération de compte : les mécanismes de contournement de la MFA (codes de secours envoyés par courriel, questions secrètes) peuvent devenir des vecteurs d'attaque si le compte de messagerie secondaire est lui-même compromis.
• Interceptions SS7 : le protocole SS7, utilisé pour le routage des SMS entre opérateurs téléphoniques, présente des vulnérabilités connues depuis 2014 permettant à un attaquant disposant d'un accès au réseau de signalisation d'intercepter des messages courts à distance.

L'authentification sans mot de passe (passwordless authentication) représente l'évolution naturelle de la MFA : en remplaçant le facteur de connaissance (mot de passe) par un facteur cryptographique fort (clé de sécurité matérielle ou passkey), elle supprime le maillon le plus fréquemment compromis de la chaîne d'authentification. Les passkeys, standardisés par l'Alliance FIDO en 2022 et pris en charge nativement par Apple (à partir d'iOS 16 et macOS Ventura, septembre 2022), Google (Android 9 et versions ultérieures) et Microsoft (Windows 11), synchronisent la clé privée de manière chiffrée entre les appareils d'un même utilisateur via le gestionnaire de mots de passe de la plateforme (iCloud Keychain, Google Password Manager), préservant la résistance au hameçonnage tout en facilitant l'adoption par les utilisateurs.

La mise en œuvre et la gouvernance de l'authentification multifacteur mobilisent plusieurs profils professionnels spécialisés :

• Le responsable de la sécurité des systèmes d'information (RSSI) définit la politique d'authentification de l'organisation, sélectionne les solutions adaptées aux différents niveaux de risque et assure la conformité aux référentiels applicables (ISO/IEC 27001, Directive NIS2, DORA).
• L'ingénieur en cybersécurité intègre les solutions MFA dans les annuaires existants (LDAP, Active Directory), configure les mécanismes de fédération d'identité (OAuth 2.0, OIDC) et pilote les déploiements à grande échelle.
• Les auditeurs certifiés CISSP (Certified Information Systems Security Professional) évaluent la conformité et la robustesse des dispositifs MFA dans le cadre des audits de cybersécurité.
• Les équipes de SOC analysent via les outils SIEM les alertes liées aux authentifications anormales — nombre excessif d'échecs MFA, connexions depuis des géolocalisations inhabituelles, tentatives de fatigue MFA.
• Les exercices de red team et les tests d'intrusion incluent systématiquement des tentatives de contournement de la MFA (hameçonnage ciblé, simulation de SIM swapping, ingénierie sociale auprès du support informatique).

La cybersécurité des organisations reposant de plus en plus sur le modèle Zero Trust — qui postule qu'aucune entité n'est fiable par défaut, y compris à l'intérieur du périmètre réseau —, l'authentification multifacteur devient un prérequis systématique pour tout accès à une ressource, quelle que soit la localisation de l'utilisateur.

• Cybersécurité
• Gestion des identités et des accès
• Modèle Zero Trust
• Chiffrement des données
• Cryptographie
• Hameçonnage
• ANSSI
• FranceConnect
• Directive NIS2
• DORA (Digital Operational Resilience Act)
• ISO/IEC 27001