Authentification multifacteur (MFA) — Sensibilisation Essentielle

Objectifs d'apprentissage

Distinguer les differents types de MFA et leur niveau de securite respectif
Comprendre les attaques contre le MFA (SIM swapping, MFA fatigue)
Deployer le MFA a l'echelle en gerant les resistances organisationnelles

Taxonomie des facteurs d'authentification

Les trois facteurs d'authentification : ce que vous savez (mot de passe, PIN), ce que vous possedez (telephone, token hardware), ce que vous etes (biometrie). Le MFA combine au moins deux de ces facteurs. Niveaux de securite des seconds facteurs (du plus faible au plus fort) : SMS OTP (vulnerable au SIM swapping) < Application TOTP (Google Authenticator, Authy) < Push notification (Duo, Microsoft Authenticator) < FIDO2/WebAuthn passkeys (le plus fort, resistant au phishing).

🔔 À retenir : FIDO2/WebAuthn (passkeys) est resiste au phishing : la cle cryptographique est liee au domaine exact du site. Un site de phishing qui imite votre portail ne peut pas utiliser votre passkey.

Attaques contre le MFA

SIM swapping : l'attaquant convainc l'operateur telco de transferer votre numero de telephone sur sa SIM, interceptant ainsi les SMS MFA. MFA fatigue (MFA bombing) : l'attaquant envoie des dizaines de demandes de push notification jusqu'a ce que la victime approuve par erreur ou par lassitude. Adversary-in-the-Middle (AiTM) : des proxies transparents interceptent en temps reel le code TOTP avant qu'il n'expire. Ces attaques sont la raison pour laquelle le SMS MFA est deconseille pour les comptes critiques.

⚠ Attention : L'attaque Uber 2022 a compromis le systeme interne en utilisant la MFA fatigue : l'attaquant a envoye des dizaines de push MFA jusqu'a ce qu'un employe accepte. Configurer les limites de tentatives MFA et le 'number matching' previent cette attaque.

Deploiement MFA a l'echelle d'une PME

Strategie de deploiement : commencer par les comptes privilegies (admins, finance, direction), puis etendre a tous les employes, puis aux comptes de service avec des solutions adaptees (tokens hardware ou secrets rotatifs). Gerer les resistances : communiquer le 'pourquoi' (MFA bloque 99 % des piratages de compte selon Microsoft), proposer des options (app vs. hardware token), et prevoir un processus de recuperation robuste pour les comptes bloques.

Checklist pratique

Le MFA est active sur tous les comptes privilegies et les acces VPN/distants

L'application TOTP (ou passkey) est utilisee plutot que le SMS pour les comptes critiques

Un processus de recuperation de compte MFA documente est en place pour eviter les lockouts

Votre progression est sauvegardée localement dans votre navigateur.

Points clés à retenir

MFA bloque 99 % des piratages de compte automatises selon Microsoft — c'est le controle le plus efficace
SMS MFA est vulnerable au SIM swapping : utiliser TOTP ou passkeys pour les comptes critiques
MFA fatigue : configurer le 'number matching' et les limites de tentatives pour contrer cette attaque
Passkeys (FIDO2) = MFA le plus fort, resistant au phishing, sans friction pour l'utilisateur