Microsoft s’éloigne officiellement de l’authentification par SMS pour les comptes personnels, car l’entreprise pousse les utilisateurs vers des clés d’accès, des applications d’authentification et des méthodes de connexion sans mot de passe.
Dans un nouvel avis de support mis à jour, Microsoft a confirmé qu’elle cessera progressivement d’utiliser des codes SMS pour l’authentification et la récupération des comptes personnels Microsoft. L’entreprise a déclaré que « l’authentification par SMS est désormais une source majeure de fraude », citant des risques croissants liés aux attaques de phishing, à l’échange de cartes SIM et aux prises de contrôle de comptes mobiles.
Ce changement affecte les comptes grand public Microsoft utilisés sur des services tels qu’Outlook, OneDrive, Xbox et Windows. Les utilisateurs qui utilisent actuellement des codes de vérification par SMS pour l’authentification à deux facteurs seront de plus en plus encouragés à passer aux clés d’accès, aux méthodes de récupération d’e-mails vérifiées ou à l’application Microsoft Authenticator.
Microsoft n’a pas encore annoncé de date limite finale pour supprimer complètement le support de la vérification par SMS. Cependant, des rapports indiquent que l’entreprise a déjà commencé à limiter les options de connexion par SMS pour les nouveaux comptes personnels tout en promouvant activement des alternatives sans mot de passe via Windows 11 et les invites de connexion aux comptes Microsoft.
L’entreprise a décrit les clés d’accès comme une méthode d’authentification plus sécurisée car elles reposent sur des identifiants cryptographiques stockés directement sur les appareils utilisateurs plutôt que sur des codes à usage unique transmis via les réseaux mobiles. Les clés d’accès utilisent généralement des systèmes d’authentification basés sur l’appareil tels que les empreintes digitales, la reconnaissance faciale ou la vérification par code PIN.
Les chercheurs en sécurité avertissent depuis longtemps que l’authentification par SMS présente des risques importants. Les attaques par échange de SIM permettent aux criminels de détourner des numéros de téléphone en trompant les opérateurs mobiles pour qu’ils transfèrent le numéro d’une victime vers des appareils contrôlés par l’attaquant. Une fois réussi, les attaquants peuvent intercepter les codes d’authentification et contourner les protections des comptes.
Cette décision de Microsoft reflète un changement plus large dans l’industrie, loin de l’authentification à deux facteurs basée sur SMS. Des entreprises telles que Google, Apple et plusieurs grandes institutions financières ont de plus en plus adopté des clés d’accès et des systèmes d’authentification matériels dans le cadre d’initiatives plus larges de sécurité sans mot de passe.
Malgré les avantages de sécurité, certains utilisateurs ont exprimé des inquiétudes quant à la dépendance exclusive aux clés d’accès et aux systèmes d’authentification basés sur les appareils. Les critiques soutiennent que les utilisateurs perdant l’accès à des appareils de confiance peuvent rencontrer des difficultés de récupération de compte si les méthodes de sauvegarde ne sont pas correctement configurées.
Microsoft a indiqué que les utilisateurs devraient ajouter plusieurs méthodes de récupération à leurs comptes avant que la vérification par SMS ne soit complètement supprimée. L’entreprise recommande d’activer des applications d’authentification, des adresses e-mail de sauvegarde et des clés d’accès pour réduire le risque de verrouillage et améliorer la sécurité des comptes.