La double authentification a longtemps été présentée comme une réponse solide à la faiblesse structurelle des mots de passe. Elle s’est imposée progressivement dans les entreprises, puis dans les usages grand public, comme un standard de sécurité. Pourtant, derrière cette adoption massive, un glissement s’opère. Discret, progressif, mais réel. La question n’est plus de savoir si la MFA est nécessaire. Elle est de comprendre ce qu’elle est en train de devenir.
« La double authentification ne disparaît pas. Elle perd son statut de garantie. »
Le modèle sur lequel repose la MFA est simple : associer deux preuves distinctes — quelque chose que l’on sait, que l’on possède ou que l’on est. Dans la majorité des cas, cela se traduit par un mot de passe complété par un code temporaire, une notification mobile ou une clé physique.
Ce modèle a permis de réduire significativement certaines attaques, notamment celles liées à la compromission de mots de passe. Mais il repose sur une hypothèse implicite : que l’identité peut être vérifiée de manière fiable à partir d’éléments que l’utilisateur peut fournir. C’est précisément cette hypothèse qui est aujourd’hui remise en cause.
Les campagnes de phishing ont évolué. Elles ne cherchent plus seulement à récupérer des identifiants, mais à intercepter des sessions en temps réel. Les techniques de type Adversary-in-the-Middle permettent de capturer simultanément le mot de passe et le second facteur, puis de rejouer la session immédiatement. Dans ce scénario, la MFA ne bloque pas l’attaque. Elle en devient une étape.
D’autres approches, comme le “MFA fatigue”, exploitent le comportement humain. En multipliant les demandes de validation, l’attaquant parvient à obtenir une acceptation par lassitude ou erreur. Là encore, le mécanisme fonctionne comme prévu… mais contre son objectif.
« La MFA protège l’accès. Elle ne protège pas l’usage qui en est fait. »
Ce constat ne signifie pas que la double authentification est obsolète. Il met en évidence une limite : elle reste fondée sur des éléments transférables, interceptables, rejouables. Elle renforce le mot de passe, sans en sortir réellement. Or, c’est précisément ce modèle qui est en train d’évoluer.
Depuis quelques années, un basculement s’amorce vers des mécanismes d’authentification liés non plus à des secrets partagés, mais à des dispositifs. Les passkeys en sont l’illustration la plus visible. Elles reposent sur un principe différent : l’identité n’est plus validée par la transmission d’un élément, mais par la possession d’une clé cryptographique stockée sur un terminal.
Dans ce modèle, il n’y a plus de mot de passe à saisir, ni de code à transmettre. L’authentification devient locale, souvent adossée à un mécanisme biométrique ou à un code PIN, et validée par une clé privée que l’utilisateur ne manipule jamais directement. Ce changement est profond. Il déplace la question de l’authentification vers celle du contrôle du terminal.
« L’identité ne se prouve plus. Elle s’attache. »
Ce mouvement ne se limite pas aux grands éditeurs. Il se retrouve également dans l’évolution des coffres-forts de mots de passe. Longtemps conçus comme des outils de stockage sécurisé, ils deviennent progressivement des intermédiaires d’identité. Ils gèrent des clés, orchestrent des authentifications sans mot de passe, et s’intègrent aux navigateurs et aux systèmes d’exploitation.
Le coffre-fort n’est plus un simple outil de gestion. Il devient un point de passage. Cette évolution soulève plusieurs questions. D’abord, celle de la dépendance. En centralisant les mécanismes d’authentification dans un outil ou un écosystème, l’organisation transfère une partie du contrôle. Le choix d’un fournisseur, d’un navigateur ou d’un système d’exploitation devient structurant. Il ne s’agit plus seulement d’un choix technique, mais d’un choix d’architecture.
Ensuite, celle de la gestion des terminaux. Si l’identité est liée au dispositif, la sécurité du terminal devient critique. Un poste compromis, un appareil non maîtrisé, ou un environnement BYOD mal encadré peuvent devenir des points d’entrée majeurs. La frontière entre gestion des identités et gestion des équipements s’estompe.
Enfin, celle de la gouvernance. Qui définit les règles d’authentification ? Qui valide les dispositifs autorisés ? Comment gérer la perte ou le renouvellement d’un terminal ? Ces questions, souvent opérationnelles en apparence, relèvent en réalité d’une politique globale de gestion des identités.
Dans ce contexte, la MFA apparaît de plus en plus comme une étape intermédiaire. Elle reste nécessaire dans de nombreux environnements, notamment pour des raisons de compatibilité ou de maturité des systèmes. Mais elle ne constitue plus l’horizon.
Elle est progressivement contournée, non pas parce qu’elle serait inefficace, mais parce qu’un modèle plus adapté émerge.
Ce modèle repose sur une idée simple : limiter la transférabilité de l’identité. En liant l’authentification à un dispositif, en supprimant les secrets partageables, et en réduisant les interactions utilisateur, il devient plus difficile de détourner un accès.
Mais ce modèle introduit d’autres dépendances. Il suppose une confiance dans les terminaux, dans les infrastructures des fournisseurs, et dans les mécanismes de synchronisation. Il déplace le risque sans le supprimer.
« On ne sécurise plus un accès. On sécurise une relation entre un utilisateur et un dispositif. »
Pour les organisations, ce basculement implique une adaptation progressive. Il ne s’agit pas de remplacer brutalement les mécanismes existants, mais de comprendre les trajectoires. Où en est le système d’information ? Quels usages peuvent évoluer ? Quels risques sont acceptables ?
Dans certains cas, la MFA restera pertinente. Dans d’autres, elle pourra être remplacée ou complétée par des mécanismes plus avancés. L’enjeu n’est pas de suivre une tendance, mais de conserver une cohérence dans la gestion des identités.
Les cadres réglementaires, notamment NIS2, viennent renforcer cette exigence. Ils ne prescrivent pas de solutions spécifiques, mais imposent une capacité à maîtriser les accès, à tracer les usages et à réagir en cas d’incident. Dans ce contexte, la question n’est plus de savoir si une authentification est “forte”, mais si elle est adaptée au risque réel.
Ce déplacement est subtil, mais déterminant. Il marque la fin d’une vision binaire de la sécurité des accès. La MFA n’est ni suffisante, ni obsolète. Elle est en transition. Et c’est précisément dans cette zone intermédiaire que se joue aujourd’hui la sécurité des identités.
