Depuis des années, Microsoft envoie un code à six chiffres par SMS pour vous connecter à votre compte. Ce code permet à Microsoft de vérifier votre identité, en plus du traditionnel combo mots de passe et identifiants. C’est le principe de la double authentification, mais Microsoft ne fait plus vraiment confiance au code envoyé par SMS.
À lire aussi : Cyberattaques IA – Google révèle que des hackers ont trouvé le moyen de contourner la double authentification, c’est une première
«L’une des principales sources de fraude »
Dans un document officiel, Microsoft estime désormais sans détour que « l’authentification par SMS est aujourd’hui l’une des principales sources de fraude ». Comme le souligne l’éditeur, les SMS n’ont jamais été conçus pour la sécurité. Ceux-ci peuvent en effet être interceptés sur les réseaux mobiles, ce qui permet de contourner le mécanisme de sécurité.
« Microsoft s’engage à faire progresser les normes de sécurité et, à ce titre, nous allons progressivement supprimer les SMS comme méthode d’authentification et de récupération des comptes personnels Microsoft », déclare Microsoft.
Les SMS se retrouvent également vulnérables dans le cadre d’une attaque SIM swap. Lors d’une offensive de ce type, un pirate vole votre numéro de téléphone en le transférant sur sa propre carte SIM, ce qui lui donne accès à tous vos SMS. Il peut alors berner tous les systèmes d’authentification qui reposent sur l’envoi d’un SMS.
À lire aussi : 6 milliards de mots de passe piratés – les virus voleurs de données ont fait un carnage en 2025
Microsoft mise tout sur les passkeys
Pour tourner la page de la sécurité par SMS, Microsoft met en avant la technologie des passkeys, ou “clé d’accès” en français. Celle-ci propose plutôt de s’identifier avec votre visage, via la reconnaissance faciale de Windows Hello, votre empreinte digitale, ou un code PIN local, directement créé sur votre smartphone ou votre ordinateur. Quelles que soient les méthodes, l’opération génère une clé cryptographique unique, stockée directement sur votre appareil, qui ne se retrouve jamais sur Internet, pour des raisons de sécurité. Contrairement aux SMS, les clés ne peuvent pas être interceptées.
Microsoft ne va pas couper les SMS d’authentification du jour au lendemain. Le géant américain a annoncé une transition progressive vers les alternatives mises en avant. Tous les titulaires d’un compte personnel Microsoft verront bientôt apparaître un écran les invitant à configurer une passkey. Celui-ci indiquera : « Connectez-vous plus vite avec votre visage, votre empreinte ou votre PIN ».
En parallèle, Microsoft encourage les internautes à associer une adresse e-mail secondaire vérifiée à leur compte. Cette adresse servira de filet de sécurité au cas où l’utilisateur perd l’accès à ses appareils de façon définitive. Microsoft met aussi en avant l’utilisation de son application Microsoft Authenticator, qui repose sur l’envoi de codes de connexion.
Adieu les mots de passe
À plus long terme, Microsoft ne souhaite pas uniquement se débarrasser des codes de connexion envoyés par SMS, mais également des mots de passe. Et la disparition des mots de passe a déjà été amorcée. En fait, les nouveaux comptes Microsoft n’en ont déjà plus par défaut. Au moment de la création d’un compte, c’est une adresse e-mail vérifiée et une passkey qui sont configurées automatiquement. Microsoft recommande à tous les utilisateurs de configurer dès maintenant une passkey sur leur compte.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
