Dans les semaines à venir, Microsoft va progressivement débrancher la connexion par code à usage unique envoyé par SMS sur ses comptes privés. La raison est simple : cette technologie, jugée archaïque par les experts, représente une faille de sécurité béante, notamment face à des attaques de plus en plus courantes et dévastatrices.
Pourquoi Microsoft abandonne-t-il le code SMS ?
Le SMS est une porte ouverte selon les experts. Les messages transitent en clair sur les réseaux mobiles, une véritable aubaine pour quiconque sait où regarder. Mais le vrai danger, celui qui a poussé Microsoft à agir, porte un nom : le SIM-Swapping (une technique où un pirate convainc votre opérateur de transférer votre numéro sur sa propre carte SIM). Une fois cette étape franchie, l’attaquant reçoit tous vos codes de sécurité et prend le contrôle total de vos comptes liés.
Microsoft qualifie d’ailleurs lui-même l’authentification par SMS de « l’une des principales causes de fraude ». En clair, maintenir cette option, c’était laisser une autoroute ouverte aux cybercriminels. La décision était donc inévitable pour une entreprise qui veut renforcer la sécurité de son écosystème.
Qu’est-ce que les Passkeys changent concrètement ?
L’alternative a un nom : Passkeys. Fini le code qui voyage sans protection, ici la magie opère localement, sur votre propre appareil. Un Passkey est en réalité un duo de clés cryptographiques : une reste privée et verrouillée sur votre PC ou smartphone, protégée par votre biométrie via Windows Hello (empreinte digitale, reconnaissance faciale) ou un simple code PIN. L’autre clé, publique, est détenue par le service en ligne.
Pour se connecter, les deux clés doivent parfaitement correspondre. Le résultat ? Les attaques par phishing deviennent quasi impossibles, car votre clé privée secrète ne quitte jamais votre machine. C’est une barrière technique beaucoup plus solide, plus rapide et finalement plus simple pour l’utilisateur au quotidien qui bénéficie d’une connexion sécurisée et fluide.
Cette transition vers les Passkeys est-elle sans embûches ?
Mais ne nous voilons pas la face, toute transition a ses victimes collatérales. Si pour 99% des utilisateurs, c’est une nette amélioration, certains cas d’usage plus pointus vont grincer des dents. Il suffit de se tourner vers les développeurs ou les techniciens qui travaillent régulièrement sur des machines virtuelles. Dans ces environnements logiciels isolés, pas d’accès direct au lecteur d’empreintes ou à la caméra du PC hôte.
Jusqu’à présent, le code SMS était une rustine bien pratique, un plan B universel pour ces situations spécifiques. Son absence va obliger ces utilisateurs à trouver de nouvelles parades, probablement via des clés de sécurité physiques, ce qui complexifie un peu la donne. Il s’agit là d’un petit inconvénient technique pour un gain de sécurité global majeur.
Foire Aux Questions (FAQ)
Quand cette suppression du code SMS sera-t-elle effective ?
Microsoft n’a pas communiqué de date précise, se contentant d’un « prochainement » et d’une mise en place « progressive ». Les utilisateurs verront des notifications les invitant à configurer une méthode alternative lors de leurs prochaines connexions.
Que dois-je faire pour sécuriser mon compte Microsoft dès maintenant ?
N’attendez pas. Rendez-vous dans les paramètres de sécurité de votre compte Microsoft et configurez une nouvelle méthode de connexion. L’idéal est d’activer un Passkey via Windows Hello ou d’utiliser une application d’authentification comme Microsoft Authenticator.
Les autres méthodes comme l’e-mail de secours sont-elles toujours valables ?
Oui, absolument. Avoir une adresse e-mail de secours vérifiée et à jour reste une option cruciale pour la récupération de votre compte en cas de problème. La suppression ne concerne que la méthode d’authentification et de récupération par SMS.