Authentification multi-facteurs (MFA) pour la signature : bonnes pratiques

L'authentification multi-facteurs (MFA, parfois appelée 2FA) est devenue un standard incontournable pour sécuriser l'accès à tout service en ligne sensible, et la signature électronique ne fait pas exception. Entre l'authentification du signataire à chaque enveloppe et la protection de votre compte contre le phishing, le MFA joue un double rôle. Voici comment fonctionnent les différents facteurs et ce que recommande l'ANSSI pour une mise en oeuvre efficace.

Les 3 catégories de facteurs

En sécurité, on distingue trois familles de facteurs d'authentification : ce que vous savez (mot de passe, question secrète), ce que vous possédez (téléphone, clé USB cryptographique, clé Yubico), ce que vous êtes (empreinte digitale, reconnaissance faciale, iris). Le MFA consiste à combiner au moins deux facteurs de deux catégories différentes — un mot de passe + un code SMS n'est pas vraiment du MFA si le SMS arrive sur le même téléphone que celui qui héberge le mot de passe.

TOTP : l'application authenticator

TOTP (Time-based One-Time Password) est le mécanisme derrière Google Authenticator, Microsoft Authenticator, Authy, Aegis. À partir d'un secret partagé (générée lors du scan du QR code), l'application génère un code à 6 chiffres qui change toutes les 30 secondes. C'est robuste : pas de dépendance au réseau télécom, pas de vulnérabilité au SIM swapping. Recommandé par l'ANSSI et la CNIL pour la plupart des cas d'usage.

Passkeys et WebAuthn : la nouvelle norme

Les passkeys (standard FIDO2/WebAuthn) représentent l'évolution majeure de l'authentification depuis 2022. Une clé cryptographique est générée sur votre téléphone ou votre clé de sécurité (YubiKey, Titan), synchronisée chiffrée entre vos appareils (iCloud Keychain, Google Password Manager), et utilisée pour s'authentifier. Aucun secret n'est jamais transmis au serveur — seule une signature cryptographique. Résultat : résistance totale au phishing. C'est l'avenir.

OTP SMS : pratique mais imparfait

L'OTP par SMS reste le facteur le plus répandu pour la signature électronique AES, parce qu'il ne requiert aucune installation d'application côté signataire. Limite connue : vulnérabilité au SIM swapping (un attaquant convainc l'opérateur de réattribuer le numéro sur une nouvelle carte SIM) et interception sur les réseaux 2G encore actifs dans certains pays. L'ANSSI recommande de ne plus reposer uniquement sur du SMS pour les comptes à fort enjeu. Pour la signature de contrats B2B courants, l'OTP SMS reste néanmoins un bon compromis usage/sécurité.

Les recovery codes

Quel que soit le facteur choisi, prévoyez toujours des codes de récupération (recovery codes) : une liste de 8 à 10 codes à usage unique, imprimés ou stockés dans un gestionnaire de mots de passe, pour récupérer l'accès en cas de perte du facteur principal (téléphone cassé, clé perdue). Certyneo propose cette fonctionnalité : vos 10 codes de secours sont générés à l'activation du MFA et peuvent être régénérés à tout moment.

MFA obligatoire ou optionnel ?

Certyneo recommande vivement d'activer le MFA sur son compte admin. Pour les équipes qui gèrent des contrats sensibles (juridique, RH, direction), c'est un élément clé de la politique de sécurité. L'administration RGPD impose en pratique (article 32) des mesures techniques appropriées au risque : un compte sans MFA ouvrant l'accès à des centaines de contrats signés est objectivement insuffisant. Activez-le dès le premier login.

Perspective : le wallet EUDI

Avec eIDAS 2.0, l'EUDI Wallet va absorber une partie des mécanismes MFA pour les signatures électroniques. Un citoyen européen équipé de son wallet pourra signer un contrat en prouvant son identité (biométrie du téléphone + certificat qualifié embarqué) sans ressaisir un OTP. C'est le niveau d'assurance le plus élevé, standardisé à l'échelle de l'UE. Les solutions comme Certyneo intégreront ce wallet dès sa disponibilité en France (prévue en 2026).