Microsoft abandonne progressivement les codes de vérification par SMS pour ses comptes personnels

Microsoft a officialisé son intention de supprimer progressivement l'utilisation des SMS comme moyen d'authentification et de récupération pour les comptes Microsoft personnels. L'entreprise indique, sur une page d'assistance dédiée, que cette évolution vise à renforcer la sécurité des utilisateurs face à des menaces de plus en plus sophistiquées.

Pourquoi le SMS est-il vulnérable ? Contrairement à d'autres canaux, les SMS ne bénéficient pas d'un chiffrement de bout en bout. Cela signifie que le contenu d'un message, y compris un code de sécurité, peut être intercepté lors de son acheminement par des pirates informatiques. Cette interception ouvre la voie à des attaques comme le SIM swapping, une technique qui permet à un attaquant de prendre le contrôle du numéro de téléphone de la victime.

Le SIM swapping, une menace grandissante Le mécanisme est simple : un pirate, après avoir intercepté un code de sécurité, contacte l'opérateur mobile de la cible en se faisant passer pour elle. Il obtient le transfert de la ligne vers une nouvelle carte SIM. Dès lors, tous les SMS d'authentification sont reçus sur le téléphone du pirate, qui peut accéder aux comptes associés. Microsoft qualifie cette méthode de « l'une des principales sources de fraude » actuellement.

Une transition vers les clés d'accès Pour contrer ces risques, l'éditeur pousse les utilisateurs à adopter les clés d'accès (passkeys), une technologie d'authentification sans mot de passe. Celle-ci repose sur la cryptographie asymétrique et lie la connexion à un appareil personnel, via la biométrie ou un code local, sans jamais transmettre de secret sur le réseau. Microsoft estime que ce changement permet de « garder une longueur d'avance sur les menaces en constante évolution tout en rendant l'accès au compte plus simple ».

Calendrier et impact Aucune date précise de bascule complète n'a été communiquée pour l'instant. La mise en œuvre sera progressive. Les utilisateurs de comptes personnels sont invités à configurer dès maintenant une clé d'accès ou, à défaut, une adresse e-mail vérifiée comme solution de récupération. Cette décision s'inscrit dans une tendance plus large du secteur visant à abandonner les mots de passe et les codes SMS, jugés obsolètes face aux techniques de phishing et d'interception.

Vers une authentification plus robuste En éliminant les SMS, Microsoft espère réduire significativement les risques de fraude liés aux comptes personnels. L'entreprise rappelle que les clés d'accès offrent une sécurité bien supérieure, car elles résistent aux attaques de type phishing et ne peuvent être volées à distance. Les utilisateurs devront se familiariser avec cette nouvelle méthode, qui pourrait à terme devenir la norme pour tous les services en ligne.