Introduction

L'authentification multifacteur (MFA) est une méthode de sécurisation des accès qui exige l'utilisation de plusieurs preuves d'identité lors de la connexion à un système. Contrairement à l'authentification classique basée sur un mot de passe seul, la MFA combine au moins deux types de facteurs : ce que l'on sait (exemple : mot de passe), ce que l'on possède (exemple : téléphone intelligent, jeton), ou ce que l'on est (exemple  : empreinte digitale). Cette approche renforce considérablement la sécurité, car même si un facteur est compromis, un attaquant ne pourra généralement pas accéder au système sans les autres. Elle est devenue indispensable face à la montée des attaques par phishing et par force brute. De plus, elle est recommandée par les normes de cybersécurité comme celles du NIST et de l'ANSSI. Elle s'applique aussi bien aux services en ligne qu'aux accès réseau, aux applications professionnelles ou aux comptes personnels.

Dans un système MFA, l'utilisateur s'authentifie d'abord avec un facteur principal (souvent un mot de passe), puis se voit demander un deuxième facteur complémentaire. Ce second facteur peut être un code temporaire généré par une application comme Google Authenticator (TOTP), un avertissement push envoyée sur un téléphone mobile, une clef de sécurité physique (type YubiKey), ou encore une vérification biométrique (empreinte, reconnaissance faciale). Ces facteurs peuvent être configurés pour s'adapter à différents niveaux de sensibilité selon les ressources ou les politiques de sécurité. L'intégration de la MFA dans une infrastructure existante se fait souvent via des solutions comme Microsoft Entra ID, Duo Security, ou Okta. L'efficacité de la MFA dépend cependant de la qualité des facteurs utilisés et de leur combinaison. Un bon déploiement garantit un bon équilibre entre sécurité et ergonomie.

Malgré ses avantages, la MFA présente certains défis, notamment en matière d'expérience utilisateur, de gestion des terminaux et de résilience face aux pannes ou pertes de dispositifs. Les utilisateurs peuvent être frustrés par des procédures répétitives ou complexes si les solutions ne sont pas bien intégrées. Par ailleurs, les attaques évoluent elles aussi, avec des techniques ciblées comme le phishing de second facteur ou l'exploitation des numéros de téléphone détournés (SIM swapping). C'est pourquoi la MFA tend à évoluer vers des méthodes plus robustes comme les passkeys ou les solutions passwordless basées sur WebAuthn. En combinant la MFA avec une approche de Zero Trust, les organisations peuvent mieux contrôler les accès en fonction du contexte (lieu, appareil, comportement). En somme, la MFA reste aujourd'hui un pilier essentiel de l'authentification moderne, mais elle doit s'inscrire dans une stratégie de sécurité globale et évolutive.