Le code reçu par SMS a longtemps servi de filet de sécurité pour se connecter à un compte Microsoft ou en récupérer l’accès. Microsoft prépare désormais sa mise à la retraite progressive au profit des passkeys et des adresses mail vérifiées, jugées plus sûres face au phishing et aux détournements de compte.
Microsoft accélère encore sur la connexion sans mot de passe. Après plusieurs années à promouvoir Windows Hello, Microsoft Authenticator et les clés d’accès, Redmond s’attaque cette fois à l’un des réflexes les mieux installés chez les utilisateurs et utilisatrices de comptes personnels : le code de vérification envoyé par SMS. Dans une page de support récemment publiée, l’entreprise confirme qu’elle va progressivement abandonner cette méthode pour l’authentification comme pour la récupération de compte, au profit des passkeys et des adresses mail vérifiées.
Le SMS, trop pratique pour rester sûr
Selon Microsoft, l’authentification par SMS est aujourd’hui devenue l’une des principales sources de fraude. Son maintien comme méthode de validation ou de récupération expose les comptes à des attaques bien documentées, dont le SIM swap, qui consiste à faire transférer le numéro d’une victime vers une carte SIM contrôlée par un attaquant. Les codes à usage unique envoyés par message arrivent alors au mauvais endroit, sans qu’il soit nécessaire de forcer le mot de passe ni de compromettre l’appareil utilisé au quotidien.
Un problème de sécurité majeur qui découle de la nature même du SMS. Pratique, universel, compris de tous, il n’a jamais été pensé comme un canal d’authentification solide. Il peut être exploité dans des campagnes de phishing, intercepté ou détourné dès lors que le numéro de téléphone devient le passage obligé pour reprendre la main sur un compte. À force de servir de roue de secours, il a fini par devenir une cible à part entière.
À la place, Microsoft pousse désormais deux options complémentaires. Les passkeys serviront à valider la connexion au compte, depuis l’appareil, via Windows Hello, une empreinte digitale, la reconnaissance faciale ou un code PIN local. Les adresses mail vérifiées prendront le relais pour la récupération de compte, lorsque l’accès habituel n’est plus disponible.
Un abandon progressif et de nouvelles habitudes à prendre
Microsoft n’a pas encore détaillé de calendrier précis concernant la fin du SMS comme méthode d’authentification pour les comptes personnels, évoquant simplement un retrait progressif. Les utilisateurs et utilisatrices devraient a priori être invités, au fil des connexions, à créer une passkey et à vérifier une adresse mail de secours.
Cette configuration passera notamment par un écran « Se connecter plus rapidement », censé accélérer l’identification en s’appuyant sur la biométrie, le code PIN de l’appareil ou les options de connexion proposées par Apple et Google. Une fois la clé d’accès créée, il ne sera plus nécessaire d’attendre un message ni de recopier un code à six chiffres. Une bonne nouvelle pour la sécurité, peut-être un peu moins pour les vieux réflexes.
