Skip to content

Qu'est-ce que la MFA, et pourquoi est-elle plus sûre qu'un mot de passe seul ?

Réponse courte

La MFA exige au moins deux facteurs d'authentification de catégories différentes — quelque chose que vous savez (mot de passe), quelque chose que vous possédez (téléphone/jeton), quelque chose que vous êtes (biométrie). Elle aide car un attaquant qui vole un facteur, comme un mot de passe, ne peut toujours pas se connecter sans les autres. La MFA résistante à l'hameçonnage comme FIDO2 est la plus forte.

La MFA est l'un des contrôles à plus fort impact et à plus faible coût en sécurité, aussi les recruteurs attendent que vous expliquiez non seulement ce qu'elle est, mais pourquoi les catégories de facteurs comptent.

Les trois catégories de facteurs

Les facteurs d'authentification se répartissent en catégories distinctes, et une véritable MFA combine au moins deux catégories différentes :

  • Quelque chose que vous savez — un mot de passe ou un code PIN.
  • Quelque chose que vous possédez — un téléphone exécutant une application d'authentification, une clé de sécurité matérielle, une carte à puce.
  • Quelque chose que vous êtes — une biométrie comme une empreinte digitale ou le visage.

Deux mots de passe ne sont pas de la MFA, car ils appartiennent à la même catégorie. La force vient de l'exigence de facteurs qu'un attaquant devrait compromettre par des moyens entièrement différents.

Pourquoi elle aide autant

La plupart des prises de contrôle de comptes commencent par un mot de passe volé ou deviné — par hameçonnage, réutilisation ou fuite de données. Avec la MFA, le mot de passe seul est inutile : l'attaquant a aussi besoin de l'appareil physique ou de la biométrie de l'utilisateur. Ce seul contrôle bloque l'écrasante majorité des attaques automatisées de bourrage d'identifiants et d'hameçonnage de masse.

Toutes les MFA ne se valent pas

  • Les codes SMS valent mieux que rien mais restent vulnérables au SIM-swapping et à l'interception.
  • Les applications d'authentification (TOTP) sont plus solides mais peuvent encore être hameçonnées en temps réel.
  • Les approbations par push sont pratiques mais favorisent la fatigue MFA / le push bombing, où les attaquants spamment les invites en espérant que l'utilisateur appuie sur « approuver ». La correspondance de numéro aide.
  • FIDO2 / passkeys / clés matérielles sont résistants à l'hameçonnage car l'identifiant est lié cryptographiquement au site légitime, de sorte qu'une fausse page ne peut pas le relayer.

Pourquoi c'est important

Les recruteurs veulent l'idée des catégories (deux facteurs différents), la raison de son efficacité (un mot de passe volé ne suffit plus) et la conscience que la robustesse de la MFA varie. Recommander une MFA résistante à l'hameçonnage là où ça compte montre que vous êtes à jour, pas que vous répétez « activez la 2FA ».

Questions de suivi probables

  • Pourquoi un code SMS est-il plus faible qu'une application d'authentification ou une clé matérielle ?
  • Qu'est-ce que la fatigue MFA / le push bombing et comment l'atténuer ?
  • Qu'est-ce qui rend FIDO2 / les passkeys résistants à l'hameçonnage ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.