Retour au blog
Securite grand public
Des codes SMS aux passkeys : guide complet de la MFA
Toutes les methodes MFA ne se valent pas. Comprenez les passkeys et quand les utiliser.
Author
ALAisha Lalli
Published
Mar 16, 2026
Reading Time
10 min de lecture
Vue d’ensemble
Toutes les méthodes MFA ne se valent pas. SMS, applications OTP, push, clés matérielles et passkeys offrent des niveaux de résistance très différents.
Pourquoi c’est important
Les attaquants contournent la MFA faible par SIM swapping, proxy de phishing, fatigue push ou vol de session.
Points clés
- SMS vaut mieux que rien mais reste exposé.
- TOTP est meilleur, mais peut être saisi sur une fausse page.
- FIDO2/WebAuthn et passkeys lient cryptographiquement la connexion au domaine légitime.
- Clés matérielles et passkeys synchronisées ont des modèles de récupération différents.
Actions recommandées
- Privilégier MFA résistante au phishing pour banque, e-mail, cloud et admin.
- Stocker les codes de secours et tester la récupération.
- Durcir le push avec number matching.
- Réserver SMS aux risques faibles ou transitions.
Conclusion
La direction la plus solide pour la plupart des utilisateurs est passkeys ou FIDO2.
Sources
Les sources et les noms de produits sont conservés comme dans l’original afin que les lecteurs puissent vérifier précisément les normes, avis fournisseurs et références citées.