Blog WatchGuard

Go to 

Authentification multifacteur résistante au phishing : Pourquoi les passkeys s’imposent comme la prochaine évolution

Le phishing avancé contourne désormais le MFA traditionnel. Les passkeys comblent cette faille. Comment fonctionnent-ils et pourquoi les régulateurs et les assureurs commencent-ils à les exiger ?

L’authentification multifacteur (MFA) représente une évolution majeure et demeure l’une des mesures les plus efficaces pour sécuriser l’accès aux systèmes et aux données de l’entreprise. Ce qui a évolué, en revanche, ce sont les méthodes employées par les cybercriminels pour contourner ces protections.

Au cours des deux dernières années, une technique connue sous le nom d’Adversary-in-The-Middle (AiTM) est devenue l’une des principales menaces pesant sur les systèmes d’authentification. Son fonctionnement est redoutablement simple. Un employé reçoit un e-mail qui ressemble à une notification officielle de Microsoft 365. Il clique sur le lien et arrive sur ce qui semble être la page de connexion habituelle. Il saisit ses identifiants, puis valide la notification MFA reçue sur son téléphone. Tout paraît normal. Mais entre leur navigateur et Microsoft, un proxy contrôlé par l’attaquant s’interpose et intercepte le cookie de session en temps réel. Avec ce cookie, l’attaquant accède au compte comme s’il était l’utilisateur légitime, sans avoir besoin de s’authentifier à nouveau.

Ces attaques ne sont ni théoriques ni marginales. Le Centre canadien pour la cybersécurité a recensé plus de 100 campagnes AiTM visant des comptes Microsoft Entra ID entre 2023 et début 2025. Selon des données publiées par Cisco Talos, la moitié des interventions de réponse à des incidents menées en 2024 impliquaient des techniques de contournement de la MFA. Et ce qui exigeait autrefois une expertise technique avancée est désormais largement accessible : des plateformes comme EvilProxy et Tycoon 2FA proposent ces attaques sous forme de service (Phishing-as-a-Service). Selon Proofpoint, certaines campagnes détectées en avril 2025 ont ciblé à elles seules des milliers d’organisations.

Cela ne signifie pas que la MFA est devenue inutile. Mais toutes les méthodes MFA n’offrent pas le même niveau de résistance face aux attaques modernes.

Ce qui différencie l’authentification multifacteur résistante au phishing

Les méthodes MFA les plus couramment utilisées (notifications push, codes OTP, SMS) remplissent leur rôle : elles ajoutent une couche de vérification qui bloque la grande majorité des attaques fondées sur le vol d’identifiants. Mais elles présentent une limite commune : elles reposent sur le fait que l’utilisateur saisit ou valide une action sur un site, ce qui peut ne pas être légitime. Si l’attaquant reproduit cette étape via un proxy AiTM, la vérification est tout de même validée.

L’authentification multifacteur résistante au phishing résout ce problème. Au lieu de transmettre un code ou une validation susceptibles d’être interceptés, elle s’appuie sur une cryptographie à clé publique liée au domaine réel du service. L’authentification se fait directement entre l’appareil de l’utilisateur et le service légitime. La présence d’un proxy fait échouer la vérification cryptographique et bloque l’accès.

Les passkeys constituent l’implémentation la plus accessible de ce modèle. Basées sur le standard FIDO2/WebAuthn, elles fonctionnent avec la biométrie de l’appareil (Face ID, Touch ID, Windows Hello) ou un code PIN, et la clé privée ne quitte jamais l’appareil de l’utilisateur. Il n’y a pas de mot de passe à voler, ni de code à intercepter, et l’authentification est liée de manière chiffrée au domaine réel.

Passkeys et MFA traditionnelle : un duo gagnant

Les passkeys ne remplacent pas la MFA traditionnelle. Les deux s'articulent au sein d'une stratégie de sécurité efficace.

Les méthodes MFA basées sur des notifications push, des codes OTP ou des applications restent efficaces dans la grande majorité des cas et sont largement supérieures à une simple utilisation de mots de passe. Pour de nombreuses organisations, déployer la MFA sur l’ensemble de leurs services constitue déjà une avancée significative et doit rester la priorité si cela n’a pas encore été fait.

Les passkeys ajoutent une couche supplémentaire pour les scénarios à plus haut risque : comptes avec des privilèges d’administrateur, accès à distance aux systèmes critiques et aux applications cloud traitant des données sensibles. L’objectif n’est pas de tout remplacer d’un coup, mais de renforcer la protection là où c’est le plus critique, puis d’étendre progressivement.

En pratique, un MSP peut combiner les deux naturellement : la MFA basée sur des notifications push comme méthode standard pour l’accès des utilisateurs, et les passkeys pour les comptes administrateurs, l’accès à Microsoft 365 avec des privilèges élevés, ou les applications traitant des données financières ou des données clients. Cela renforce la protection là où une compromission aurait le plus d’impact, sans ajouter de friction inutile pour les autres utilisateurs.

Un autre avantage, souvent sous-estimé : l’expérience utilisateur avec les passkeys est en réalité meilleure que celle de la MFA traditionnelle. Aucun code à copier, aucune notification push à attendre, aucune application à ouvrir. L’utilisateur se connecte simplement avec son visage ou son empreinte digitale, et l’accès est immédiat. Pour les partenaires qui accompagnent des clients dont la résistance à la MFA provient précisément de la friction qu’elle génère, c’est un argument concret pour lever les objections et conclure la discussion.

Pourquoi les régulateurs et les assureurs poussent vers une MFA résistante au phishing

Mais il existe une autre raison d’agir, qui a un impact direct sur le résultat financier.

Du côté réglementaire, la direction est claire. Des cadres tels que NISTCISA, NIS2 et DORA indiquent tous la même direction : les contrôles d’accès traditionnels ne suffisent plus, et de plus en plus de réglementations recommandent ou exigent une MFA résistante à l’hameçonnage dans le cadre d’une architecture Zero Trust.

Mais la pression la plus tangible vient de la cyberassurance.

Si vous gérez la sécurité de vos clients en tant que MSP ou partenaire channel, vous l’avez probablement déjà constaté. Les discussions de renouvellement en cyberassurance mettent désormais la MFA au cœur des échanges, y compris dans des réunions où le sujet n’était jamais abordé auparavant.

Les assureurs ont tiré des enseignements de leurs sinistres. Ils savent que la plupart des incidents qu’ils indemnisent sont causés par des identifiants compromis, et ont ajusté leurs exigences en conséquence. Aujourd’hui, environ 80 % des assureurs exigent la MFA comme condition non négociable pour émettre ou renouveler une police. Mais l’évolution la plus significative est que les assureurs font de plus en plus la distinction entre une MFA basique et une MFA résistante au phishing lors du calcul des primes et de la définition des conditions de couverture. Les organisations qui ne peuvent pas démontrer des contrôles d’accès robustes s’exposent à des primes plus élevées, à des exclusions de couverture, voire à des refus purs et simples.

Ce n’est pas une vue de l’esprit. Par exemple, la ville de Hamilton, au Canada, s’est vu refuser un remboursement de 18 millions de dollars après avoir subi une attaque par ransomware, faute d’une MFA entièrement déployée sur les systèmes touchés.

Cela change la nature des échanges avec vos clients. Il ne s’agit plus de dire « Vous devriez mieux vous protéger », mais de souligner : « Vous devez adopter une MFA résistante au phishing pour renouveler votre police et répondre aux exigences à venir ». Et si ce n’est pas vous qui le proposez, quelqu’un d’autre le fera.

Comment AuthPoint intègre les passkeys à votre offre de sécurité

WatchGuard AuthPoint prend en charge les passkeys FIDO2 pour les ressources OIDC (OpenID Connect) et permet aux utilisateurs de se connecter à des applications telles que FireCloud, Microsoft Entra ID ou toute application compatible OIDC, simplement avec la biométrie de leur appareil, sans mot de passe ni code.

La conception repose sur les principes décrits : une authentification cryptographique liée au domaine réel, avec une clé privée qui demeure toujours sur l’appareil de l’utilisateur. Une sécurité conçue pour résister aux attaques par phishing.

Pour les administrateurs, la disponibilité des passkeys est contrôlée par la ressource OIDC à l'aide de politiques Zero Trust dans WatchGuard Cloud. Cela permet un déploiement progressif : activer les passkeys pour certaines applications, les limiter aux ressources à haut niveau de sécurité, ou les combiner avec d’autres méthodes d’authentification selon les cas.

Point important à noter : les passkeys sont incluses sans frais supplémentaires dans les licences AuthPoint MFA et AuthPoint Total Identity Security. Il ne s’agit ni d’un module complémentaire ni d’une fonctionnalité premium. Les partenaires utilisant déjà AuthPoint peuvent proposer cette fonctionnalité à leurs clients en l’activant simplement, sans modification de licence ni renégociation.

Pour en savoir plus sur pourquoi la MFA reste essentielle et comment protéger les accès contre le vol d’identifiants, consultez ces articles sur notre blog :

Classé sous : Identity Security et MFA, Authentification des accès et de l'identité, Authentification multifacteur, WatchGuard AuthPoint, Partenaires