À partir de septembre, Microsoft Entra ID remplacera l’authentification par SMS et vocale par des mots de passe, signalant que les informations d’identification traditionnelles sont trop risquées pour rester la norme face aux attaques basées sur l’IA.
Les clés d’accès existent depuis un certain temps, mais jusqu’à présent, leur adoption à l’échelle de l’entreprise a été lente pour plusieurs raisons. Mais bientôt, de nombreux clients Microsoft n’auront plus le choix.
À partir du 1er septembre, Microsoft déploiera les clés d’accès comme méthode d’authentification par défaut dans son service cloud de gestion des identités et des accès (IAM) Entra ID. Et après une période de transition, l’authentification SMS et vocale fournie par Microsoft prendra officiellement fin le 1er février 2027.
Avec cette décision, Microsoft semble souligner le besoin urgent d’une norme d’authentification plus sécurisée, alors que les attaquants améliorent leur jeu avec l’IA.
Il s’agit d’une « étape importante », car elle fait passer l’authentification sans mot de passe d’une amélioration de sécurité facultative à la norme attendue, a noté Ensar Seker, RSSI chez SOCRadar. « Ce changement est important dans la mesure où les attaquants s’appuient de plus en plus sur l’IA pour automatiser les campagnes de phishing, générer des pages de connexion convaincantes et procéder à des vols d’identifiants à grande échelle. »
Déploiement du mot de passe de Microsoft sur six mois
Les clés d’accès nécessitent que les utilisateurs s’authentifient via une empreinte digitale, une numérisation faciale ou un mécanisme d’écran de verrouillage, plutôt qu’un mot de passe. Ils peuvent être stockés sur des clés USB physiques (comme YubiKey) ou sous forme d’identifiants numériques sur des ordinateurs, des téléphones ou dans des comptes cloud.
Selon Microsoft, cette méthode réduit le recours aux outils d’authentification hameçonnables tels que les SMS et la voix, et renforce la protection contre le vol d’informations d’identification.
Les clés d’accès « fonctionnent mieux pour les utilisateurs et moins bien pour les cyberattaquants », a écrit Nadim Abdo, vice-président de Microsoft pour l’ingénierie des identités et de l’accès au réseau, dans un article de blog.
Le calendrier annoncé par Microsoft pour le déploiement des clés d’accès est relativement agressif :
- 1 septembre 2026: Tous les utilisateurs utilisant les SMS ou la voix seront « automatiquement activés et poussés » pour enregistrer un mot de passe lors de la connexion à l’authentification multifacteur (MFA).
- 18 septembre 2026: Les tarifs, les conditions commerciales et une liste des fournisseurs de télécommunications pris en charge seront partagés pour les scénarios qui nécessitent encore une authentification SMS ou vocale en raison de réglementations ou de défis techniques ou opérationnels.
- 30 octobre 2026: Les entreprises qui utilisent encore les SMS et la voix doivent sélectionner et configurer un fournisseur de télécommunications pris en charge via le Microsoft Security Store. Dès lors, ils seront responsables de tous les frais liés aux télécommunications.
- 1 février 2027: La fourniture de télécommunications fournie par Microsoft pour l’authentification SMS et vocale se termine en tant que fonctionnalité native de Microsoft Entra.
Après le 1er février, les entreprises qui ont besoin de SMS ou de voix pour la MFA doivent enregistrer un mot de passe avant de se connecter. Il n’y aura pas d’option de désinscription.
Il est important de noter que ces dates s’appliquent à Entra ID hébergé dans le cloud public. La prise en charge d’autres environnements cloud suivra un calendrier distinct ; des orientations et des dates supplémentaires sont à venir.
Alors que les SMS et la voix ont bien rempli leur objectif, a déclaré Abdo, en mettant l’authentification multifacteur à la disposition de milliards d’utilisateurs qui autrement n’en auraient pas eu, l’environnement des menaces a changé en termes de « vitesse, d’échelle et de sophistication », ce qui a nécessité cette transition vers des mots de passe.
Les avantages des mots de passe
Seker de SOCRadar a souligné que les mots de passe modifient fondamentalement la surface d’attaque car, contrairement aux mots de passe, il n’y a pas de transmission de secrets partagés qui peuvent être volés par les acteurs malveillants. L’authentification nécessite la possession de l’appareil de l’utilisateur, ainsi qu’une vérification biométrique ou un code PIN.
« Même les pages de phishing les plus convaincantes générées par l’IA ne peuvent pas simplement inciter les utilisateurs à fournir un mot de passe comme ils le font avec des mots de passe ou des codes à usage unique », a-t-il déclaré.
Alors pourquoi n’avons-nous pas constaté une adoption généralisée par les entreprises ? Les écosystèmes d’identité sont « fragmentés », a noté Seker, et de nombreuses entreprises s’appuient encore sur des applications existantes qui ne prennent en charge que les mots de passe. Ils ont également du mal à gérer la compatibilité multiplateforme, la gestion du cycle de vie, les processus de récupération, les comptes partagés et l’intégration et le départ des employés.
En outre, « jusqu’à récemment, de nombreuses organisations considéraient les mots de passe comme une technologie grand public plutôt que comme une stratégie d’identité d’entreprise », a-t-il déclaré.
La décision de Microsoft change cette équation, car Entra se trouve au centre de l’infrastructure d’identité de nombreuses organisations, a noté Seker. Les paramètres par défaut sont généralement les principaux moteurs de l’adoption de la sécurité. Ainsi, lorsque l’authentification sans mot de passe devient obligatoire plutôt que facultative, les organisations sont bien plus susceptibles de la déployer à grande échelle.
Son plus grand avantage serait une « réduction spectaculaire » des attaques basées sur les informations d’identification, a déclaré Seker. Il a souligné que la plupart des compromissions réussies commencent toujours par le vol d’informations d’identification obtenues via le phishing, les logiciels malveillants de type infostealer, la réutilisation de mots de passe ou les attaques d’un adversaire du milieu. Les clés d’accès « éliminent ou réduisent considérablement » bon nombre de ces voies d’attaque, tout en réduisant la fatigue liée aux mots de passe et les coûts du service d’assistance liés à la réinitialisation des mots de passe.
En outre, plutôt que d’essayer d’améliorer continuellement la capacité des utilisateurs à détecter les tentatives de phishing de plus en plus sophistiquées, les clés d’accès suppriment complètement les informations d’identification de l’équation, a noté Seker. « Cela représente une stratégie de sécurité à long terme plus durable que de s’appuyer uniquement sur la sensibilisation des utilisateurs. »
Néanmoins, les clés d’accès ne constituent pas une solution miracle, car elles n’empêchent pas la compromission des points de terminaison, le vol de jetons de session, les initiés malveillants ou les attaquants qui contrôlent déjà un appareil de confiance. Les entreprises doivent compléter les clés d’accès avec une protection des points finaux, une surveillance continue, des politiques d’accès conditionnel et une détection des menaces d’identité, a conseillé Seker.
Comment les entreprises peuvent se préparer
Pour préparer le passage aux mots de passe, Microsoft a conseillé aux entreprises de revoir leur politique d’authentification et d’identifier les groupes qui utilisent encore l’authentification par SMS ou vocale. Ils doivent ensuite sélectionner la meilleure méthode d’authentification pour les appareils des utilisateurs et les flux de travail, et s’assurer que tous les employés reçoivent des clés d’accès et des clés de sécurité.
Entra ID prend en charge à la fois les clés d’accès synchronisées (celles stockées dans les gestionnaires d’informations d’identification de la plate-forme comme le trousseau iCloud et Google Password Manager) et les clés d’accès liées à l’appareil telles que les clés d’accès Microsoft Authenticator, la clé d’accès Entra sous Windows ou les clés de sécurité FIDO2.
Seker a conseillé aux entreprises d’évaluer la prise en charge de FIDO2 et des mots de passe dans leur infrastructure d’identité, et de développer des procédures claires d’inscription et de récupération. Ils doivent également informer les utilisateurs sur ce qui change, sur le fonctionnement des clés d’accès et sur la manière dont ils peuvent finaliser leur inscription. En outre, a déclaré Seker, il est important d’établir des pratiques sécurisées de gestion des appareils et de continuer à appliquer les politiques de moindre privilège, d’accès conditionnel et d’authentification basée sur les risques tout au long de la transition.
En fin de compte, a-t-il souligné, cette décision est cruciale. « Au cours des prochaines années, les organisations qui continuent de s’appuyer principalement sur des mots de passe seront probablement confrontées à des risques opérationnels plus élevés à mesure que l’IA continue de réduire les coûts et d’augmenter l’efficacité des attaques basées sur les identifiants », a-t-il déclaré.



