Un bon second facteur change réellement la sécurité d’un compte, mais tous les outils ne se valent pas. Dans cet article, je décortique ce que fait un mfa authenticator, les différences entre code temporaire, notification push, clé de sécurité et passkey, puis la façon de le déployer sans se retrouver bloqué au premier téléphone perdu. L’objectif est simple: vous aider à choisir une méthode solide, compatible avec vos usages en entreprise comme au quotidien.
Les points essentiels à garder en tête avant de choisir un outil MFA
- Un authentificateur MFA n’est pas qu’une application qui affiche un code: il peut aussi valider une connexion par notification, par clé FIDO2 ou par passkey.
- Les codes TOTP améliorent nettement la sécurité, mais ils restent sensibles au phishing si l’utilisateur les saisit sur un faux site.
- Les notifications push sont pratiques, surtout avec la correspondance de nombres, mais elles ne doivent pas être acceptées sans contexte.
- Les passkeys et les clés de sécurité offrent aujourd’hui la meilleure défense contre les attaques de hameçonnage.
- Un plan de récupération propre, avec codes de secours et second appareil, est aussi important que le facteur principal.
Ce que fait vraiment un authentificateur MFA
Je distingue toujours trois choses: le mot de passe, le second facteur et l’outil qui sert à le produire ou à le valider. En pratique, un authentificateur MFA est le composant qui prouve que vous possédez bien quelque chose en plus du mot de passe, par exemple votre téléphone, une clé de sécurité ou une donnée cryptographique liée à l’appareil.
Dans le langage courant, un mfa authenticator désigne donc moins une marque qu’une fonction de sécurité. Il peut générer un code à usage unique, afficher une demande d’approbation sur le téléphone, ou déclencher une authentification cryptographique via une passkey. L’ANSSI recommande d’ailleurs de privilégier l’authentification multifacteur, et quand c’est possible, les facteurs de possession, parce qu’ils réduisent beaucoup le risque de prise de compte par mot de passe volé.
La nuance qui compte, c’est celle entre authentification forte et simple confort d’usage. Un code à saisir reste utile, mais un mécanisme cryptographique qui lie la connexion au bon site est plus robuste contre l’interception et la redirection frauduleuse. C’est cette différence qui change le niveau de protection réel, pas l’icône de l’application.
Une fois cette base posée, le vrai sujet devient le choix du bon type d’outil selon votre contexte.
Les grandes familles d’outils à comparer
Quand je conseille une solution MFA, je pars rarement du nom du produit. Je pars du mode de preuve: code temporaire, approbation push, passkey ou clé matérielle. Chacun a un bon cas d’usage, mais aussi une limite qu’il faut accepter dès le départ.
| Méthode | Fonctionnement | Points forts | Limites | Mon usage recommandé |
|---|---|---|---|---|
| TOTP dans une application | Génère un code temporaire à 6 chiffres, généralement hors connexion. | Simple à déployer, compatible avec beaucoup de services, utile même sans réseau. | Le code peut être saisi sur un faux site; ce n’est pas la meilleure défense contre le phishing. | Comptes standards, PME, transition depuis le mot de passe seul. |
| Notification push | Le téléphone reçoit une demande d’approbation ou de refus. | Très fluide pour l’utilisateur, réduit les erreurs de saisie. | Risque d’approbation réflexe et de fatigue MFA si la politique est mal réglée. | Équipes hybrides, services internes, environnements avec bonne gouvernance. |
| Passkey ou clé FIDO2 | La preuve est cryptographique et liée au bon service. | Meilleure résistance au phishing, très bon niveau de sécurité. | Demande une compatibilité applicative et une gestion de parc plus rigoureuse. | Comptes sensibles, administrateurs, finance, RSSI, accès cloud critiques. |
| SMS ou e-mail de secours | Un code arrive par message ou par courrier électronique. | Facile à comprendre et souvent déjà disponible. | Plus fragile face au SIM swapping, à la redirection de boîte mail et aux attaques de relais. | Uniquement comme solution de rattrapage, jamais comme base de confiance. |
Ce tableau mène à une règle simple: si la valeur du compte est élevée, je privilégie une méthode cryptographique. Le NIST est clair sur un point important: les OTP saisis manuellement et les mécanismes out-of-band classiques ne sont pas considérés comme résistants au phishing, parce que la saisie manuelle ne lie pas le code à la session exacte. En langage opérationnel, cela veut dire qu’un TOTP reste utile, mais qu’il ne doit pas être présenté comme une armure totale.
À l’inverse, des outils modernes combinent plusieurs usages dans la même application: codes, approbation push et passkeys. C’est pratique, mais cela ne veut pas dire que tout se vaut. Je préfère donc raisonner par scénario d’usage, pas par catalogue de fonctionnalités.
Le choix devient beaucoup plus clair quand on regarde comment installer et paramétrer tout ça proprement.
Configurer sans fragiliser le compte
La majorité des problèmes que je vois ne viennent pas du produit, mais de l’enrôlement. Un authentificateur bien choisi peut devenir inutilisable si la mise en place est bancale, si l’on garde un seul appareil, ou si les mécanismes de secours n’ont jamais été testés.
- Enregistrez au moins deux moyens d’accès si le service le permet: téléphone principal et clé de secours, ou téléphone et second appareil.
- Activez la méthode principale depuis les réglages officiels du compte, pas depuis un lien reçu par e-mail ou message.
- Vérifiez la sauvegarde: si l’application synchronise les codes, testez la restauration sur un nouvel appareil avant d’en dépendre.
- Activez la correspondance de nombres pour les notifications push quand elle est disponible. Microsoft indique que ce mécanisme est désormais activé pour les push Authenticator, et c’est une amélioration concrète contre les approbations accidentelles.
- Générez des codes de secours et conservez-les hors ligne, idéalement dans un coffre ou un support papier sécurisé.
- Contrôlez l’heure du téléphone pour les codes TOTP, car un décalage horaire peut suffire à faire échouer les connexions.
J’insiste sur un point que beaucoup sous-estiment: la récupération. Google rappelle par exemple qu’un ensemble de 10 codes de secours peut être généré pour reprendre la main si l’on perd son téléphone ou son accès habituel. C’est le genre de détail qui évite une panne d’accès en pleine journée de travail.
Une fois la configuration posée, il faut encore éviter les réflexes qui ruinent tous les bénéfices de la MFA.
Les erreurs qui ruinent la sécurité au quotidien
Un compte avec MFA peut rester vulnérable si les mauvaises habitudes s’installent. Le plus souvent, la faille n’est pas technique mais humaine: on approuve trop vite, on n’a qu’un seul moyen de secours, ou on laisse le téléphone devenir la clef unique de tout le système.
- Valider une notification push sans contexte: c’est la porte ouverte aux attaques de fatigue MFA. Si je n’ai pas déclenché la demande, je refuse.
- Ne conserver qu’un seul appareil: si le téléphone casse, toute la chaîne d’accès peut tomber.
- Utiliser le SMS comme méthode principale: c’est mieux que rien, mais trop faible pour un compte sensible.
- Oublier la protection de l’écran de verrouillage: un second facteur stocké sur un téléphone déverrouillé perd beaucoup de valeur pratique.
- Réutiliser le même appareil pour tout: si la messagerie, les codes et la récupération dépendent du même mobile, le point de rupture est unique.
- Ne jamais tester la procédure de reprise: le vrai problème apparaît souvent le jour où il faut restaurer l’accès en urgence.
Je vois aussi souvent une confusion entre commodité et robustesse. Une solution très fluide n’est pas automatiquement plus sûre; elle peut simplement être plus agréable à utiliser. La bonne question n’est pas « est-ce que c’est rapide ? », mais « est-ce que cela résiste à l’attaque la plus probable sur ce compte ? »
C’est là que le contexte métier et le niveau de sensibilité prennent toute leur importance.
Ce que je recommande selon le contexte en France
Dans un environnement français, je garde en tête la logique de l’ANSSI: prioriser l’authentification multifacteur, préférer un facteur de possession, et adapter le niveau de défense à la sensibilité réelle du compte. Je n’applique donc pas la même recette à un compte RH, à une console cloud ou à un simple outil collaboratif.
| Contexte | Choix de départ | Ce que j’ajoute | Pourquoi |
|---|---|---|---|
| Utilisateur standard en PME | Application TOTP | Codes de secours et second appareil si possible | Bon équilibre entre coût, simplicité et sécurité |
| Équipe hybride ou mobile | Notifications push avec correspondance de nombres | Politique d’accès conditionnel et formation anti-phishing | Réduit les saisies manuelles sans sacrifier la vigilance |
| Comptes administrateurs ou financiers | Passkey ou clé FIDO2 | Deuxième clé de secours et procédure de révocation rapide | Le risque de compromission justifie un niveau plus fort |
| Services exposés sur Internet | MFA cryptographique dès que possible | Blocage du SMS comme méthode principale | Le phishing et la redirection de session sont des risques réels |
| Applications anciennes ou contraintes techniques | TOTP transitoire | Plan de migration vers passkey ou clé matérielle | On sécurise d’abord, puis on modernise sans casser l’existant |
Le point clé, pour moi, est le suivant: une passkey ou une clé matérielle n’est pas seulement « plus moderne », elle change la nature même de l’attaque possible. Un attaquant peut voler un mot de passe ou pousser un utilisateur à lire un code, mais il aura beaucoup plus de mal à rejouer une authentification cryptographique bien liée au bon service.
À l’inverse, je ne jette pas les codes TOTP aux oubliettes. Dans bien des organisations, ils restent la meilleure option intermédiaire, surtout si le déploiement doit être rapide et que tout le parc n’est pas encore prêt pour la clé matérielle. L’important, c’est de ne pas leur attribuer un niveau de protection qu’ils n’ont pas.
Le bon niveau de défense dépend surtout du plan de récupération
Si je devais résumer ce sujet en une phrase, je dirais que la meilleure MFA est celle qui protège bien et qui permet de revenir proprement en cas d’incident. Une stratégie de sécurité qui bloque tout accès au premier téléphone perdu n’est pas mature; elle est fragile.
- Gardez un second moyen d’authentification, séparé du principal.
- Conservez vos codes de secours hors ligne et testez-les une fois.
- Prévoyez la révocation rapide d’un appareil perdu ou volé.
- Réexaminez régulièrement les méthodes autorisées, surtout si un compte devient plus sensible qu’avant.
Je recommande aussi de revoir les comptes critiques à intervalles réguliers, au minimum quand l’utilisateur change de téléphone, de rôle ou d’environnement de travail. Dans la pratique, c’est souvent à ce moment-là que l’on découvre les vraies faiblesses: méthode de secours jamais configurée, numéro de téléphone obsolète, ou clé de sécurité rangée mais jamais testée.
Si vous devez commencer par une seule décision, choisissez une méthode d’authentification qui résiste réellement au phishing, puis construisez autour d’elle un plan de secours simple, testé et documenté. C’est ce duo, plus que l’outil lui-même, qui fait la différence sur la durée.