Depuis quelques semaines, les utilisateurs de comptes Microsoft ne peuvent plus activer leur accès par simple envoi de SMS sur leur smartphone. L’authentification via mot de passe à usage unique (OTP) envoyé par message texte n’est désormais plus proposée, comme l’a confirmé Frandroid. La firme de Redmond impose désormais les passkeys comme solution principale pour se connecter, marquant une étape supplémentaire dans sa stratégie de suppression progressive des mots de passe traditionnels.

Ce qu'il faut retenir

  • Fin de l’authentification par SMS pour les comptes Microsoft, remplacée par les passkeys.
  • Les passkeys reposent sur des solutions biométriques (empreinte digitale, reconnaissance faciale) ou un code PIN.
  • Cette transition s’inscrit dans le cadre d’une volonté de renforcer la sécurité des comptes en ligne.
  • Les utilisateurs concernés doivent mettre à jour leurs méthodes d’authentification avant le 30 juin 2026.
  • Les entreprises utilisant Microsoft Entra ID (ex-Azure AD) sont également impactées.

Une évolution majeure dans la gestion des comptes en ligne

Microsoft n’est pas la première entreprise à abandonner les SMS pour l’authentification. Google et Apple ont déjà franchi le pas, privilégiant des méthodes plus sécurisées comme les clés d’accès (passkeys) ou les authentifications à double facteur (2FA) via applications dédiées. D’après Frandroid, cette décision s’explique par les failles de sécurité récurrentes liées aux messages texte, souvent interceptés par des pirates via des techniques comme le « SIM swapping ».

Les passkeys, intégrées nativement dans les systèmes d’exploitation modernes (Windows 11, Android, iOS), permettent une connexion sans mot de passe. Elles reposent sur une paire de clés cryptographiques : une clé publique stockée sur le serveur, et une clé privée enregistrée localement sur l’appareil de l’utilisateur. Cette méthode réduit considérablement les risques de piratage, selon les experts en cybersécurité.

Comment migrer vers les passkeys ?

Pour les utilisateurs particuliers, le processus est simplifié. Lors de la prochaine tentative de connexion à un compte Microsoft, un message les invitera à « utiliser une application ou un appareil pour vous connecter ». Il leur suffira alors de choisir l’option « Clé d’accès » et de suivre les instructions à l’écran pour enregistrer leur empreinte digitale ou leur visage. Cette opération prend moins d’une minute, assure Microsoft.

Pour les entreprises, la migration peut s’avérer plus complexe, notamment pour celles qui dépendent encore de systèmes hérités. Microsoft recommande d’utiliser Microsoft Entra ID (anciennement Azure AD) pour faciliter le déploiement des passkeys auprès des employés. Une documentation technique détaillée a été publiée par la firme pour accompagner les administrateurs IT dans cette transition.

Les limites et défis de cette transition

Si les passkeys offrent une sécurité accrue, leur adoption massive pourrait rencontrer des obstacles. Certains utilisateurs, notamment les personnes âgées ou celles peu familiarisées avec les nouvelles technologies, pourraient rencontrer des difficultés. De plus, les appareils anciens ou non compatibles (smartphones sous Android 8 ou versions antérieures, par exemple) ne pourront pas utiliser cette méthode.

Par ailleurs, des questions persistent quant à la compatibilité avec certains services tiers. Si la plupart des grands acteurs du numérique (Amazon, PayPal, etc.) ont déjà adopté les passkeys, d’autres pourraient tarder à suivre, obligeant les utilisateurs à conserver des méthodes d’authentification hybrides pendant quelque temps.

Et maintenant ?

Microsoft a fixé au 30 juin 2026 la date butoir pour la désactivation définitive des SMS comme méthode d’authentification. D’ici là, les utilisateurs concernés sont invités à mettre à jour leurs paramètres. La firme pourrait étendre cette politique à d’autres services (Outlook, OneDrive, Xbox Live) dans les mois à venir, si la transition se déroule sans accroc. Pour les entreprises, une planification rigoureuse sera nécessaire pour éviter toute interruption de service.

Reste à voir si cette mesure suffira à convaincre l’ensemble des utilisateurs, notamment ceux encore réticents aux nouvelles technologies. Une chose est sûre : avec cette décision, Microsoft s’aligne sur les standards les plus exigeants en matière de cybersécurité, tout en accélérant la disparition des mots de passe traditionnels.

Si votre appareil ne prend pas en charge les passkeys, vous devrez utiliser une autre méthode d’authentification à double facteur (2FA), comme une application d’authentification (Microsoft Authenticator, Google Authenticator) ou une clé de sécurité physique (YubiKey). Microsoft a indiqué que ces options resteront disponibles jusqu’à la fin de l’année 2026, le temps que les utilisateurs effectuent la transition.