Microsoft accélère l'élimination des méthodes d'authentification basées sur des codes de vérification SMS et promeut vigoureusement la « connexion sans mot de passe » dans l'écosystème Windows 11 pour protéger la sécurité des comptes Microsoft personnels via des mots de passe, des applications d'authentification et des adresses e-mail de sauvegarde. Microsoft a confirmé aux médias que la société n'enverrait plus de codes de vérification par SMS aux comptes personnels. Cet ajustement implique non seulement le processus de vérification à deux facteurs, mais inclut également le processus de récupération des comptes. Un document d'assistance qui a été discrètement mis à jour plus tôt cette année indique clairement que Microsoft "élimine progressivement les SMS comme méthode d'authentification et de récupération de compte pour les comptes Microsoft personnels".

Microsoft a déclaré sans ambages dans son dernier avis de sécurité que l'authentification par SMS "est devenue l'une des principales sources de fraude" et n'est plus cohérente avec sa stratégie à long terme visant à améliorer les normes de sécurité. Les messages texte SMS n'ont pas été conçus à l'origine pour les scénarios modernes de sécurité des réseaux. Leur contenu est transmis en texte clair sur les réseaux cellulaires et est facilement intercepté et écouté. En outre, les « attaques par échange de carte SIM » de plus en plus courantes révèlent également la faiblesse structurelle des codes de vérification SMS : les attaquants n'ont qu'à tromper les opérateurs pour qu'ils transfèrent le numéro de la victime vers un appareil qu'ils contrôlent, puis ils peuvent recevoir tous les codes de vérification SMS instantanément et prendre facilement le contrôle du compte en ligne de la victime. Du point de vue de Microsoft, pour faire face à de telles menaces, il n'est plus réaliste de continuer à corriger le système SMS, et une voie plus réalisable consiste à adopter complètement une solution sans mot de passe.

Dans le cadre de la nouvelle stratégie, Microsoft remplacera les codes de vérification SMS par des clés d'accès comme base. Cette norme est considérée comme une méthode de connexion moderne et résistante au phishing. Contrairement aux mots de passe traditionnels et aux numéros à six chiffres qui peuvent être interceptés ou réutilisés, les clés d'accès reposent sur du matériel biométrique et un code PIN local intégré à l'appareil pour l'authentification. Lorsque les utilisateurs se connectent à un compte Microsoft, ils peuvent effectuer la vérification via la reconnaissance faciale Windows Hello, la reconnaissance d'empreintes digitales ou le code PIN local de l'appareil. Le système générera une paire de clés publiques et privées en arrière-plan. La clé privée est toujours enregistrée dans le matériel tel que la puce de sécurité de l'appareil local et ne sera pas transmise via le réseau, éliminant ainsi presque la possibilité d'attaques de phishing à distance.

La mise en œuvre spécifique de la clé d'accès peut soit adopter le mode « liaison d'appareil », soit utiliser des services cloud pour synchroniser plusieurs appareils. Le premier signifie que la clé privée ne quitte jamais un élément matériel spécifique, tel que la puce de sécurité TPM d'un ordinateur portable ; ce dernier s'appuie sur des services tels que Apple iCloud Keychain ou Google Password Manager pour synchroniser en toute sécurité la clé sur plusieurs terminaux de l'utilisateur. Microsoft a souligné que même si un utilisateur perd son téléphone, tant qu'une adresse e-mail de sauvegarde fiable et une clé d'accès synchronisée sur tous les appareils ont été préalablement configurées, l'accès au compte peut toujours être restauré de manière relativement sûre.

Du point de vue de la théorie de la sécurité, la décision de Microsoft d'abandonner les codes de vérification SMS fragiles et de se tourner vers des clés d'accès biométriques cryptées est une mise à niveau dans la bonne direction, et elle est également conforme à la tendance générale du « décryptage » dans l'ensemble du secteur. Dans son annonce, Microsoft a souligné que la société « s'engage à élever les normes de sécurité » et estime que l'avenir de l'authentification devrait être « sans mot de passe, sécurisé et convivial ». L'auteur de l'article a également mentionné qu'en utilisation quotidienne, avec les applications Microsoft Edge, Microsoft Password Manager et Microsoft Authenticator, couplées à la reconnaissance faciale Windows Hello équipée d'une caméra infrarouge, l'expérience de connexion aux comptes personnels sans mot de passe est "vraiment excellente" et le fonctionnement est plus fluide.

Cependant, cet avenir apparemment idéal sans mot de passe pourrait ne pas être facile pour les gros utilisateurs et certains scénarios techniques. L'auteur prend comme exemple son propre processus de travail en tant que Windows Insider et souligne qu'il a souvent besoin de créer, configurer et gérer un grand nombre de machines virtuelles pour tester différentes versions du système et environnements logiciels. Dans ces environnements de machines virtuelles isolés, le matériel biométrique physique est souvent indisponible et les clés de sécurité ne sont pas toujours accessibles, ce qui entraîne une expérience de connexion par mot de passe considérablement « abandonnée ». En essayant de se connecter à un compte Microsoft à l'aide d'un mot de passe via un code PIN dans une machine virtuelle, il a rencontré à plusieurs reprises des messages d'erreur et n'a pas pu terminer avec succès le processus de connexion.

Dans ce scénario très technique mais relativement courant, demander à recevoir un code de vérification par SMS était autrefois une « solution de dernier recours » simple et fiable. La combinaison d'un mot de passe et d'un code de vérification par SMS est profondément ancrée dans le cœur des gens, et une chaîne de six chiffres est presque devenue l'une des mesures de sécurité les plus naturelles dans les opérations quotidiennes des utilisateurs du monde entier. L'auteur estime que pour vraiment changer cette habitude accumulée depuis de nombreuses années, les nouvelles technologies doivent non seulement être plus sûres, mais doivent également pouvoir fonctionner « de manière insensée » dans presque tous les scénarios, sinon elles mettront facilement les utilisateurs en difficulté aux moments critiques.

Microsoft a récemment apporté d'autres ajustements à l'expérience d'installation et aux politiques de compte pour se coordonner avec ce changement d'orientation en matière de sécurité. Par exemple, certains signes indiquent que Microsoft pourrait supprimer l'obligation de se connecter à un compte Microsoft lors des futurs processus d'installation de Windows 11, réduisant ainsi la nécessité pour les utilisateurs de se connecter en ligne pendant certaines étapes de configuration. D'autre part, la société invitera également de manière proactive tous les utilisateurs de comptes personnels via des fenêtres contextuelles du système pour les encourager à configurer des clés d'accès et à vérifier les adresses e-mail de sauvegarde dès que possible. Les invites courantes incluent « Connectez-vous plus rapidement avec votre visage, votre empreinte digitale ou votre code PIN ».

Il est prévisible que la perte de l'outil « pratique mais fragile » du code de vérification par SMS provoquera à court terme un inconfort et des plaintes chez certains utilisateurs. Cependant, dans la déclaration de Microsoft, cela est considéré comme le prix à payer pour faire face aux menaces de sécurité modernes, et c'est également une étape clé pour renforcer la ligne de défense de sécurité globale de l'écosystème Windows 11. Avec la popularisation croissante des clés d'accès et des solutions sans mot de passe, la logique sous-jacente de la sécurité des comptes passe de « se souvenir d'un mot de passe » à « prouver que vous êtes qui vous êtes », et cette migration a déjà été entièrement lancée dans le système de Microsoft.