Un mot de passe seul ne suffit plus. La 2FA ajoute une couche de sécurité décisive contre le vol de credentials. Tour d'horizon des mécanismes, des approches et des solutions disponibles.
Un mot de passe peut être deviné, phishiné, ou leaké dans une base de données compromise. L'authentification à deux facteurs (2FA) part d'un constat simple : pour accéder à un compte, il ne suffit pas de savoir quelque chose — il faut aussi posséder quelque chose ou être quelqu'un. Cette combinaison rend les attaques par credential stuffing quasiment inopérantes.
Le mécanisme
L'authentification multifacteur repose sur la combinaison d'au moins deux types de preuves d'identité :
- Ce que vous savez : mot de passe, PIN, réponse secrète
- Ce que vous possédez : téléphone, clé physique, token matériel
- Ce que vous êtes : empreinte digitale, reconnaissance faciale, voix
La 2FA classique combine le premier facteur (mot de passe) avec le deuxième (appareil). Voici le flux type :
- L'utilisateur saisit son identifiant et son mot de passe
- Le serveur valide le premier facteur et déclenche le défi 2FA
- Un code est généré (côté serveur ou côté appareil selon la méthode)
- L'utilisateur soumet ce code dans le délai imparti
- Le serveur valide et accorde l'accès
Flux 2FA complet : du mot de passe à l'accès accordé, avec les cinq approches principales.
Les approches
SMS et e-mail
Le serveur envoie un code à usage unique (OTP) par SMS ou e-mail. C'est l'approche la plus simple à mettre en œuvre et la plus familière des utilisateurs. Son talon d'Achille : le SIM swapping — une attaque où un pirate convainc l'opérateur de transférer le numéro sur sa propre carte SIM. Pour des applications critiques (banque, santé), cette méthode est insuffisante.
TOTP — Time-based One-Time Password
L'application génère un code à 6 chiffres qui change toutes les 30 secondes, basé sur un secret partagé lors de l'enrôlement (via QR code) et l'heure courante. La validation est hors-ligne : aucune connexion réseau n'est nécessaire côté appareil. C'est la méthode la plus répandue en entreprise.
Principaux clients TOTP :
- Google Authenticator — simple, sans sauvegarde cloud native
- Microsoft Authenticator — intégré à l'écosystème Azure AD / Entra
- Authy — sauvegarde chiffrée dans le cloud, multi-appareils
- 1Password / Bitwarden — TOTP intégré au gestionnaire de mots de passe
Notifications push
Au lieu d'un code, l'utilisateur reçoit une notification sur son téléphone : « Approuver la connexion ? ». C'est l'approche la plus fluide en termes d'UX. Elle nécessite une application dédiée et une connexion réseau sur l'appareil secondaire.
- Duo Security (Cisco) — très répandu en entreprise, supporte aussi TOTP et FIDO2
- Okta Verify — intégré à la plateforme Okta
- Microsoft Authenticator — push natif pour les comptes Microsoft/Azure
Clés physiques FIDO2 / WebAuthn
Une clé matérielle (USB, NFC, Bluetooth) génère une signature cryptographique unique par site, ce qui rend le phishing impossible : la clé ne répond qu'au vrai domaine. C'est le niveau de sécurité le plus élevé, recommandé pour les comptes à privilèges élevés.
- YubiKey (Yubico) — référence du marché, supporte FIDO2, TOTP, PIV
- Google Titan Key — alternative Google, FIDO2 uniquement
- OnlyKey — open source, stockage de mots de passe intégré
Passkeys et biométrie
Les passkeys sont la prochaine génération : un couple de clés asymétriques lié à un appareil, déverrouillé par biométrie (Touch ID, Face ID, Windows Hello). L'utilisateur ne saisit plus jamais de mot de passe. Le standard FIDO2 / WebAuthn est supporté par Apple, Google, Microsoft et la majorité des navigateurs modernes. C'est aujourd'hui la méthode la plus résistante au phishing et la plus simple pour l'utilisateur.
Les principaux fournisseurs d'identité (IdP)
Pour les applications web, déléguer l'authentification à un fournisseur dédié est presque toujours la bonne décision :
| Fournisseur | Points forts | 2FA natif |
|---|---|---|
| Auth0 (Okta) | Flexibilité, SDKs | SMS, TOTP, push, WebAuthn |
| Keycloak | Open source, on-premise | TOTP, WebAuthn |
| Firebase Authentication | Intégration Google, gratuit | SMS, TOTP |
| AWS Cognito | Natif AWS, scalable | SMS, TOTP |
| Okta | Enterprise, SSO | Tous les facteurs |
| Microsoft Entra ID | Écosystème Microsoft | Push, TOTP, FIDO2 |
Pourquoi l'adopter maintenant
Selon Microsoft, la 2FA bloque 99,9 % des attaques automatisées sur les comptes. La mise en œuvre est aujourd'hui triviale grâce aux bibliothèques et aux IdP. Le seul vrai coût est l'UX — et les passkeys sont en train de résoudre ce dernier obstacle. Pour toute application manipulant des données sensibles, des paiements, ou des accès administrateurs : la 2FA n'est plus une option.