Quelle différence entre 2FA et MFA ?

La 2FA (two-factor authentication) est un cas particulier de la MFA : elle exige exactement deux facteurs. La MFA est le terme générique et couvre toute authentification avec au moins deux facteurs, qu'il y en ait 2, 3 ou plus. En pratique, la quasi-totalité des déploiements sont des 2FA.

Le SMS est-il une bonne méthode MFA ?

Non, c'est la moins sûre. Les SMS peuvent être interceptés via SIM swapping (transfert frauduleux de carte SIM) ou des failles du protocole SS7. Le NIST américain déconseille officiellement le SMS depuis 2017. Il reste mieux que rien, mais une application TOTP ou une clé FIDO2 sont largement préférables.

Qu'est-ce qu'une passkey ?

Une passkey est une clé cryptographique stockée sur votre appareil qui remplace à la fois le mot de passe et la MFA. Elle repose sur la norme FIDO2/WebAuthn et résiste nativement au phishing car elle vérifie le domaine du site. C'est actuellement la forme d'authentification la plus sûre et la plus simple d'usage.

La MFA peut-elle être contournée ?

Oui, plusieurs techniques existent : MFA fatigue (spammer de notifications push jusqu'à ce que la victime valide par erreur), adversary-in-the-middle (proxy qui capture codes OTP en temps réel), SIM swapping pour les SMS, et compromission du token de session post-authentification. Seules les méthodes résistantes au phishing (passkey, clé FIDO2) bloquent les attaques adversary-in-the-middle.

MFA (authentification multifacteur) : définition, types et mise en place

Efficacité: ~99% des attaques par credentials bloquées (Microsoft)
Norme la plus sûre: FIDO2 / WebAuthn (passkeys)
À éviter: SMS (SIM swap possible) — déconseillé par le NIST
Obligatoire: Entités NIS2, RGPD article 32 (recommandé)
Adoption FR: ~70% des entreprises (sur au moins un service)

01 — DéfinitionQu'est-ce que la MFA ?

La MFA, pour Multi-Factor Authentication, désigne tout mécanisme d'authentification qui exige au moins deux preuves d'identité différentes pour autoriser l'accès à un compte, une application ou un système. L'idée est simple : si un attaquant compromet l'un des facteurs (typiquement le mot de passe), il lui faudra encore franchir une barrière supplémentaire pour entrer.

Dans le langage courant, on parle souvent de 2FA (authentification à deux facteurs) ou de double authentification. Ce sont des cas particuliers de MFA. En pratique, la quasi-totalité des déploiements utilisent exactement deux facteurs : les deux termes sont souvent employés de manière interchangeable.

Selon Microsoft, activer la MFA bloque 99,9% des attaques automatisées par compromission de compte. C'est probablement la mesure avec le meilleur ratio effort/impact en cybersécurité.

02 — PrincipeLes trois types de facteurs

Pour qu'une authentification soit réellement multifactorielle, les facteurs combinés doivent appartenir à des catégories différentes. Deux mots de passe successifs ne font pas une MFA. On distingue traditionnellement trois catégories.

1. Ce que vous savez (facteur de connaissance)

Mot de passe, code PIN, phrase secrète, réponse à une question de sécurité. C'est le facteur le plus ancien et le plus faible : il peut être volé, deviné, fuité.

2. Ce que vous possédez (facteur de possession)

Téléphone recevant un SMS ou hébergeant une application d'authentification, clé de sécurité physique (YubiKey, Titan), carte à puce, token RSA. C'est le facteur central de la plupart des MFA modernes.

3. Ce que vous êtes (facteur d'inhérence)

Empreinte digitale, reconnaissance faciale, iris, voix, comportement de frappe. Sert souvent de facteur complémentaire pour déverrouiller les deux premiers (déverrouiller son téléphone pour accéder à l'app d'authentification, par exemple).

Certaines approches ajoutent des facteurs contextuels — lieu géographique, appareil connu, heure de connexion — pour de l'authentification adaptative ou risk-based.

03 — MéthodesLes méthodes MFA du pire au meilleur

Toutes les MFA ne se valent pas. Voici un classement par niveau de sécurité croissant, avec les raisons techniques qui les différencient.

SMS / appel vocal (à éviter)

Un code est envoyé par SMS ou dicté par appel. Vulnérable au SIM swapping : un attaquant convainc l'opérateur de transférer la ligne sur une nouvelle SIM, et intercepte tous les codes. Également vulnérable aux failles du protocole SS7. Le NIST américain déconseille le SMS pour la MFA depuis 2017.

Email (à éviter également)

Un code envoyé par email. Si l'email lui-même n'est pas protégé par MFA, la protection est illusoire. Si la boîte email est compromise — ce qui arrive régulièrement via phishing — toutes les MFA par email sautent en même temps.

TOTP (Time-based One-Time Password)

Codes à 6 chiffres qui changent toutes les 30 secondes, générés par une app comme Google Authenticator, Microsoft Authenticator, Authy, Aegis. Nettement plus sûr que le SMS : le secret ne quitte jamais le téléphone. Reste vulnérable aux attaques adversary-in-the-middle (proxy qui capture le code en temps réel).

Notifications push

L'utilisateur reçoit une notification sur son téléphone et approuve ou refuse la connexion. Plus ergonomique que TOTP, mais vulnérable à la MFA fatigue : l'attaquant spamme les notifications jusqu'à ce que l'utilisateur finisse par approuver par lassitude ou erreur. Les versions modernes ajoutent un number matching (il faut retaper un chiffre affiché à l'écran) pour contrer cette attaque.

Clé FIDO2 matérielle (très sûr)

Une clé USB/NFC (YubiKey, Google Titan, Feitian) qui signe cryptographiquement une preuve de présence. Résistante au phishing par conception : la clé vérifie elle-même le domaine et refuse de signer pour un site frauduleux. Même un kit de phishing adversary-in-the-middle ne peut pas la contourner.

Passkey (recommandé en 2026)

Une clé cryptographique FIDO2 stockée directement sur l'appareil (iPhone, Android, ordinateur) et synchronisée via le cloud de confiance (iCloud Keychain, Google Password Manager). Remplace à la fois le mot de passe et la MFA. Même résistance au phishing que les clés matérielles, avec une expérience utilisateur bien meilleure. C'est l'avenir de l'authentification grand public.

04 — LimitesLes attaques qui contournent la MFA

Activer la MFA est un immense pas, mais ce n'est pas une solution absolue. Plusieurs techniques permettent de la contourner, qu'il faut connaître pour choisir le bon type de MFA.

MFA fatigue (push bombing) — l'attaquant, qui dispose déjà du mot de passe, envoie massivement des demandes d'approbation push jusqu'à ce que la cible clique par lassitude ou erreur. Contrée par le number matching et la limitation du nombre de push.
Adversary-in-the-middle (AiTM) — kit de phishing moderne qui fait transiter la connexion par un proxy capturant en temps réel à la fois le mot de passe et le code MFA. Seules les méthodes FIDO2 (clés matérielles, passkeys) résistent car elles vérifient cryptographiquement le domaine.
SIM swapping — concerne uniquement les MFA par SMS. L'attaquant fait transférer la ligne mobile de la victime sur sa propre SIM et intercepte les codes.
Vol de token de session — après authentification, le serveur émet un cookie de session. Un attaquant qui vole ce cookie (via infostealer ou XSS) contourne toute MFA jusqu'à expiration du cookie. Défense : sessions courtes, binding d'appareil, détection d'anomalies.
Codes de récupération — souvent le maillon faible. Stockés dans un email non protégé par MFA, ils offrent un bypass complet à qui compromet cet email.

05 — DéploiementComment déployer la MFA

Mettre en place la MFA à l'échelle d'une organisation est un projet structurant. Voici la séquence recommandée.

Priorisation

Priorité absolue : comptes à privilèges (admin domaine, admin cloud, admin applications critiques).
Priorité 1 : accès distants (VPN, RDP, SSH, bastion).
Priorité 2 : messagerie et SSO (Microsoft 365, Google Workspace, Okta, Azure AD).
Priorité 3 : applications métier critiques (ERP, CRM, compta).
Priorité 4 : le reste, progressivement.

Choix technologique

Pour les comptes à privilèges : clé FIDO2 matérielle obligatoire, pas de fallback SMS.
Pour les utilisateurs standards : passkey ou app TOTP avec notifications push + number matching.
Éviter le SMS sauf en fallback temporaire de migration.
Bannir l'email en tant que facteur MFA du compte email lui-même (circularité).
Prévoir une procédure de récupération sécurisée (clé de backup stockée hors ligne).

Accompagnement

Communication claire avant déploiement — expliquer le pourquoi, pas seulement le comment.
Phase pilote sur un service volontaire avant généralisation.
Support renforcé pendant les deux premières semaines (pic de demandes prévisible).
Documentation utilisateur simple avec captures d'écran.
Procédure claire en cas de perte de téléphone/clé.

06 — Cadre légalObligations réglementaires

La MFA est de moins en moins optionnelle. Plusieurs textes réglementaires l'imposent désormais, explicitement ou implicitement.

NIS2 (transposée en France en 2024) — la MFA fait partie des mesures techniques attendues pour les entités essentielles et importantes, notamment sur les accès à distance et les comptes d'administration.
DORA (secteur financier) — exige une authentification forte pour tout accès à des systèmes critiques, avec des recommandations explicites sur les facteurs FIDO2 pour les comptes à privilèges.
RGPD article 32 — n'impose pas la MFA nominalement, mais l'exigence de « mesures techniques appropriées » au regard du risque la rend de facto obligatoire pour les traitements sensibles.
PCI-DSS 4.0 — exige la MFA pour tous les accès non-console aux systèmes traitant des données de cartes bancaires.
DSP2 — impose une authentification forte du client pour les paiements en ligne (les fameux codes 3D Secure sur mobile).
Assurance cyber — la quasi-totalité des contrats de cyber-assurance en 2026 exigent la MFA sur les accès à privilèges et les accès distants comme prérequis de souscription.

07 — FAQQuestions fréquentes

MFA ou 2FA ?

La 2FA est un cas particulier de MFA avec exactement deux facteurs. MFA est le terme générique. Dans 99% des cas, on parle de la même chose. Utilise MFA en B2B, 2FA est plus courant côté grand public.

Mes utilisateurs n'ont pas de smartphone, comment faire ?

Deux options. D'abord les clés physiques FIDO2 (50 à 80 € l'unité), qui sont la meilleure solution de toute façon. Ensuite les tokens OTP physiques (porte-clés affichant un code), solution legacy mais fonctionnelle pour les environnements sans smartphone.

Quelle app TOTP choisir ?

Microsoft Authenticator si tu es en environnement Microsoft (push et number matching intégrés). Sinon, Authy (avec sauvegarde chiffrée multi-appareils) ou Aegis (open-source, Android uniquement, très apprécié des profils techniques). Éviter Google Authenticator qui a longtemps manqué de fonctionnalités de sauvegarde sérieuses.

La MFA ralentit-elle vraiment les utilisateurs ?

Un peu au début, puis beaucoup moins. Les méthodes modernes (push, passkey) ajoutent 2 à 5 secondes à la connexion. Avec un SSO bien configuré, l'utilisateur ne s'authentifie qu'une fois par jour. Le coût ergonomique est négligeable face au gain de sécurité.

Et si on perd sa clé ou son téléphone ?

C'est pourquoi il faut toujours configurer plusieurs méthodes. Typiquement : une clé FIDO2 principale + une clé de backup stockée dans un coffre + des codes de récupération imprimés et stockés hors ligne. Sans backup, une perte de clé = perte d'accès définitive. La procédure de récupération par support IT doit exiger une vérification d'identité forte pour éviter l'ingénierie sociale.