Face aux campagnes de phishing et à la fragilité des OTP, l’heure est venue d’abandonner les vieux réflexes de connexion et de passer à une authentification réellement sûre. Tokens physiques, passkeys ou double appareil de secours : les nouvelles approches ouvrent la voie à une expérience de connexion fluide et plus résistante aux cyberattaques.

Depuis le 25 juin 2025, le portail fiscal français impots.gouv.fr est passé officiellement à l’authentification à deux facteurs (2FA). Les particuliers doivent ainsi se connecter à l’aide de leur identifiant fiscal et de leur mot de passe, puis valider leur accès grâce à un code à usage unique, disponible pour une durée limitée, et envoyé au mail lié à leur compte depuis l’adresse otp@authentification.impots.gouv.fr. Cette mesure de sécurité, testée dès septembre 2024 dans les départements de l’Eure-et-Loir et du Pas-de-Calais, a pour objectif de renforcer la protection des données fiscales face aux cyberattaques croissantes. Toutefois, les personnes qui accèdent à la plateforme via une passerelle d’identification déjà sécurisée seront exemptées de cette étape supplémentaire, car ce système met déjà en œuvre des mesures robustes de vérification de l’identité.

Cette évolution marque un progrès important, car elle s’inscrit dans un modèle d’authentification où le mot de passe et l’accès à une messagerie font encore office de remparts principaux. Or, ces deux éléments peuvent être compromis, notamment dans le cas d’attaques ciblées ou de messageries insuffisamment sécurisées. En l’absence de vérification renforcée de l’appareil ou de biométrie, un code à usage unique reste interceptable, et la sécurité dépend alors entièrement de la robustesse de la messagerie associée. Le ministère de l’économie invite en effet les utilisateurs à s’assurer que leurs coordonnées sont à jour et à rester particulièrement vigilants face aux tentatives de phishing visant à exploiter cette transition.

Phishing, limitations techniques et vigilance accrue

Certains dispositifs d’authentification, bien que présentés comme sécurisés, reposent toujours sur une configuration assez classique : un nom d’utilisateur et un mot de passe standard, suivis d’un code à usage unique envoyé par email. Si celle-ci peut donner l’impression d’une protection renforcée, elle montre aujourd’hui ses limites face à la réalité d’un écosystème numérique qui devient chaque jour plus complexe et plus vulnérable. Aussi, l’expérience utilisateur n’est pas toujours fluide, générant des frictions qui complique l’accès à des services essentiels rapidement et en toute sécurité.

Alors que l’Union européenne s’apprête à déployer le portefeuille numérique et à intégrer en ligne des données personnelles sensibles, des soins de santé et des services administratifs, la nécessité d’une authentification forte, fiable et facile à utiliser n’a jamais été aussi cruciale. Les méthodes traditionnelles telles que les OTP (mot de passe à usage unique) ou l’authentification unique, reposent sur des bases obsolètes qui sont de plus en plus ciblées lors de campagnes de phishing et d’autres cyberattaques. Cette complexité, couplée à une fréquence d’usage parfois faible, peut aussi décourager les bonnes pratiques en matière de sécurité, avec une réutilisation de mots de passe ou un recours à des informations faciles à deviner.

Pour que cette transition vers une authentification moderne réussisse à grande échelle, elle ne peut reposer uniquement sur les choix technologiques des fournisseurs ou sur la capacité individuelle des particuliers à adopter de nouvelles pratiques. En complément, elle requiert un engagement structurant des pouvoirs publics pour définir un cadre commun, interopérable et pérenne.

Vers une authentification moderne et sans mot de passe

Selon la CNIL, près de 80 % des compromissions de données de grandes ampleurs constatées en 2024 ont été permises par l’usurpation d’un compte uniquement protégé par un mot de passe. Il est évident que le moment est venu de changer d’approche.

L’adoption de technologies résistantes au phishing, telles que les tokens FIDO2, représente une amélioration significative, non seulement en termes de sécurité, mais aussi parce qu’elle offre une expérience plus intuitive et plus rapide. Ces méthodes éliminent complètement les mots de passe et lient l’accès à un appareil physique, ce qui rend les intrusions à distance beaucoup plus difficiles pour les cybercriminels.

Néanmoins, l’authentification moderne ne doit pas s’arrêter à la sécurité. Elle doit également prendre en compte les scénarios réels et humains des utilisateurs, comme la perte d’un appareil ou l’oubli d’un code PIN. La messagerie doit également être sécurisée en toutes circonstances, car si elle se retrouve compromise, elle devient un point d’entrée pour les cybercriminels vers des informations sensibles.

C’est pourquoi les stratégies de repli sont importantes. Au lieu de réinitialiser maladroitement les mots de passe, un système bien conçu pourrait combiner un élément matériel ou un passkey avec un code PIN statique défini par l’utilisateur, ce qui lui donnerait un moyen simple et intuitif de récupérer son accès sans compromettre sa sécurité. Une approche efficace consiste à permettre à ce dernier d’enregistrer un deuxième appareil sécurisé en guise de sauvegarde. En cas de perte ou d’indisponibilité de l’appareil principal, cet outil de secours prend le relais de manière transparente, garantissant ainsi un accès continu tout en maintenant une protection solide. Cette solution est par ailleurs plus résistante au phishing, étant donné qu’elle ne nécessite pas de code, facilement interceptable.

À long terme, permettre ce type d’accès sécurisé et sans friction dans l’infrastructure numérique publique de l’Europe n’est pas seulement une mise à niveau technique, c’est un impératif de confiance publique. Les citoyens doivent savoir que leurs données sont protégées et que leur accès à des services vitaux ne sera pas bloqué par des systèmes obsolètes ou des vulnérabilités évitables. Il est ainsi essentiel d’accompagner ce changement culturel par de la pédagogie, en expliquant clairement pourquoi certaines méthodes sont plus sûres, comment elles fonctionnent, et surtout, comment réagir en cas de pertes d’accès. La sécurité doit se concevoir comme une infrastructure invisible, qui protège sans alourdir.
____________________________

Par Fabrice de Vésian, Sales Director South EMEA et France chez Yubico

 

À lire également :

Pourquoi les DSI doivent privilégier une MFA résistante au phishing ?

Santé et cybersécurité 2025 : s’adapter à l’évolution des menaces et des réglementations…

Protéger individuellement les utilisateurs afin de réduire les risques de phishing en entreprise…

Distribution et Hôtellerie : protéger sa clientèle grâce à la norme PCI DSS v4.0

L’authentification forte, pierre angulaire du modèle Zero Trust.