Microsoft veut mettre fin à l’utilisation de codes de validation envoyés par SMS pour la connexion aux comptes Microsoft. A la place, la firme de Redmond veut pousser à fond les clés d’accès (passkeys), considérées comme une méthode d’authentification plus fiable et moderne.

Pourquoi le SMS est-il mis de côté par Microsoft ?

Pour Microsoft, l’avenir de l’authentification doit être sans mot de passe, c’est-à-dire du passwordless. Dans le viseur de l’entreprise américaine, une méthode de validation bien spécifique : la validation basée sur un code reçu par SMS.

Il faut dire qu’on le sait depuis longtemps : le SMS n’est pas le facteur d’authentification le plus robuste pour tout ce qui est authentification multifacteur ou procédure de récupération. Il n’est pas considéré comme étant phishing-resistant, contrairement à d’autres méthodes. En effet, cette méthode historique s’avère vulnérable face aux attaques par hameçonnage (phishing) ainsi qu’au SIM-swapping (le piratage de carte SIM).

En abandonnant le SMS, Microsoft espère donc réduire l’exposition des utilisateurs grâce à l’utilisation d’une méthode d’authentification plus sécurisée, sans que ce soit plus complexe en pratique. Cette réponse a un nom : la clé d’accès.

Microsoft décidé à imposer les passkeys

Un document de support publié par Microsoft explique que, pour remplacer la validation par SMS, les utilisateurs seront guidés pour ajouter une adresse e-mail vérifiée et configurer une clé d’accès. Cette opération de configuration sera à effectuer lors de la connexion à un compte Microsoft personnel. Le dernier mot de cette phrase est important : dans son document, Microsoft parle uniquement des comptes personnels.

En comparaison des codes par SMS, voici les avantages des passkeys :

• Une sécurité accrue : les passkeys résistent par nature au phishing, ce qui élimine les risques de compromission de comptes via un phishing.
• Une connexion plus rapide : il n’est plus nécessaire de patienter le temps de recevoir un code SMS. L’accès s’effectue instantanément via les fonctionnalités intégrées de l’appareil (telles que Face ID, l’empreinte digitale ou un code PIN) ou par des options de connexion en un clic exploitant les comptes Apple et Google.
• Une réduction des risques : s’éloigner des SMS réduit les risques de compromission de comptes, puisque ce vecteur est très largement exploité par les cybercriminels.
• Une procédure de récupération optimisée : l’usage combiné d’un e-mail vérifié et d’une passkey garantit à l’utilisateur la possibilité de récupérer l’accès à son compte, même en cas de perte de l’appareil ou s’il change de numéro de téléphone. En effet, l’e-mail est important puisque la clé d’accès est liée à un appareil.

Même si cette décision va probablement dans le bon sens, il y aura surement quelques galères rencontrées par les utilisateurs finaux. Le code par SMS, cela parle à tout le monde, tandis que les clés d’accès, même si c’est simple, c’est une approche qui peut perturber les utilisateurs lambdas.