Microsoft abandonne les codes de validation par SMS pour les comptes personnels au profit des passkeys

Microsoft a annoncé l'arrêt prochain de l'envoi de codes de validation par SMS pour la connexion aux comptes personnels. Cette décision, inscrite dans une stratégie plus large d'authentification sans mot de passe (passwordless), vise à remplacer ce mode de validation par les clés d'accès (passkeys), jugées plus fiables et modernes.

Les faiblesses du SMS identifiées de longue date

L'entreprise justifie ce choix par les vulnérabilités bien connues de la validation par SMS. Cette méthode historique n'est pas considérée comme résistante au phishing, contrairement à d'autres facteurs d'authentification. Les codes envoyés par texto sont notamment exposés aux attaques par hameçonnage et au piratage de carte SIM (SIM-swapping). En abandonnant le SMS, Microsoft espère réduire l'exposition des utilisateurs à ces risques.

Les passkeys comme nouvelle norme

Selon un document de support publié par Microsoft, les utilisateurs seront désormais guidés pour ajouter une adresse e-mail vérifiée et configurer une clé d'accès. Cette configuration interviendra lors de la prochaine connexion à un compte Microsoft personnel. L'entreprise précise que cette évolution ne concerne pour l'instant que les comptes personnels, et non les comptes professionnels ou éducatifs.

Les passkeys présentent plusieurs avantages par rapport aux codes SMS : une sécurité accrue, car elles résistent par nature au phishing ; une connexion plus rapide, sans attendre la réception d'un code ; une réduction des risques de compromission, le SMS étant un vecteur très exploité par les cybercriminels ; et une procédure de récupération optimisée, grâce à l'e-mail vérifié, même en cas de perte de l'appareil ou de changement de numéro de téléphone.

Un virage qui pourrait perturber certains utilisateurs

Si cette décision est jugée positive sur le plan de la sécurité, elle pourrait néanmoins entraîner quelques difficultés pour les utilisateurs peu familiers avec les technologies d'authentification modernes. Le code par SMS est une méthode largement comprise, tandis que les passkeys, bien que simples d'usage, représentent une approche nouvelle qui peut déstabiliser certains internautes. Microsoft mise sur le guidage pas à pas pour faciliter la transition.