Qu'est-ce que l'authentification MFA résistante au phishing ? Sécurité moderne

Qu'est-ce que l'authentification multifacteur résistante au phishing ?

Votre utilisateur vient d'approuver sa quinzième notification push MFA à 2h du matin parce que les alertes ne s'arrêtaient pas. L'attaquant dispose désormais d'un accès authentifié à votre réseau. Ce scénario se répète régulièrement : les attaques par fatigue MFA apparaissent dans 14 % des incidents de sécurité analysés dans le rapport 2025 Verizon Data Breach Investigations, faisant de la fatigue MFA la principale méthode de contournement.  L'ingénierie sociale est devenue la principale vulnérabilité des authentifications multifacteurs traditionnelles.

L'authentification MFA résistante au phishing élimine cette vulnérabilité grâce à une architecture cryptographique qui rend le vol d'identifiants structurellement impossible. Selon le National Institute of Standards and Technology, l'authentification résistante au phishing nécessite « mot de passe ou biométrie + processus cryptographiques à clé asymétrique (PIV, CAC, FIDO2) ». La Cybersecurity and Infrastructure Security Agency (CISA) désigne cette approche comme « la référence en matière de MFA » et n'identifie que deux implémentations approuvées : l'authentification FIDO/WebAuthn et l'authentification basée sur PKI.

Les méthodes MFA traditionnelles transmettent des identifiants que les attaquants peuvent intercepter et rejouer. Les codes SMS, notifications push et mots de passe à usage unique ne sont pas liés cryptographiquement aux points de terminaison d'authentification légitimes. Un attaquant peut les relayer entre la victime et une fausse page de connexion pendant leur période de validité. La MFA résistante au phishing utilise la cryptographie asymétrique où les clés privées ne quittent jamais le dispositif d'authentification et où les défis d'authentification sont liés cryptographiquement à des domaines spécifiques. Si vous tentez de vous authentifier sur un site de phishing, l'authentificateur ne peut pas produire de signature valide car le domaine ne correspond pas. L'authentification échoue avant que toute interaction utilisateur ne puisse compromettre la sécurité.

Comprendre la définition est une chose. Voir pourquoi cela compte nécessite d'examiner l'ampleur des attaques basées sur les identifiants qui ciblent aujourd'hui les organisations.

Comment la MFA résistante au phishing s'intègre à la cybersécurité

Le FBI Internet Crime Complaint Center a reçu  193 407 plaintes pour phishing en 2024, représentant une activité cybercriminelle substantielle soumise au principal mécanisme de signalement du gouvernement fédéral. L'abus d'identifiants a été impliqué dans  90 % des violations confirmées d'applications web au cours des 18 derniers mois selon l'analyse de Verizon.

Des incidents réels montrent pourquoi la MFA traditionnelle échoue face à des attaquants déterminés. En septembre 2022, Uber a subi une violation lorsqu'un attaquant a bombardé un employé de notifications push MFA jusqu'à ce que l'employé en approuve une. L'attaquant a accédé à des systèmes internes, dont Slack, Google Workspace et des rapports de vulnérabilité. En mai 2022, Cisco a révélé une violation où des attaquants ont utilisé le  phishing vocal pour convaincre un employé d'accepter des notifications push MFA après avoir volé des identifiants VPN. Le résultat a été un accès non autorisé aux systèmes internes et une exfiltration de données.

Les renseignements sur les menaces de la CISA identifient que des adversaires, dont le groupe Scattered Spider, utilisent des techniques d'interception et de relais d'identifiants pour accéder au réseau. La MFA traditionnelle n'offre qu'une protection limitée contre ces méthodes. La MFA résistante au phishing bloque à la fois le vol d'identifiants hors ligne et le phishing en temps réel car chaque demande d'authentification nécessite de nouveaux défis cryptographiques que les attaquants ne peuvent pas forger sans la clé privée sur le dispositif d'authentification.

Les équipes des opérations de sécurité qui surveillent les schémas d'authentification ont également besoin de visibilité sur le comportement post-authentification. Les plateformes comme la  Singularity Platform corrèlent les événements d'authentification avec l'activité des endpoints pour détecter quand les attaquants passent à la  mouvement latéral ou à  l'escalade de privilèges après l'authentification des utilisateurs légitimes. Mais avant d'ajouter la surveillance, il faut comprendre les éléments constitutifs qui rendent l'authentification résistante au phishing efficace.

Composants clés de la MFA résistante au phishing

La MFA résistante au phishing repose sur un modèle d'identifiants fondamentalement différent de l'authentification traditionnelle. Au lieu de secrets partagés connus des deux parties, elle utilise des paires de clés asymétriques où seul l'authentificateur détient la clé privée.

Lorsque vous vous enregistrez auprès d'un service compatible FIDO2, votre appareil client génère une paire de clés qui ne fonctionne que pour cette application spécifique. Votre clé privée ne quitte jamais l'appareil. Le service enregistre votre clé publique mais ne possède jamais de matériel d'identification secret. Chaque service reçoit une paire de clés unique, empêchant la corrélation des identifiants entre sites. Les données biométriques et les clés privées sont stockées dans du matériel sécurisé, protégeant contre la compromission de l'appareil.

L'authentification résistante au phishing repose sur trois principaux types d'authentificateurs :

• Clés de sécurité matérielles : fournissent des clés liées à l'appareil, non exportables, stockées dans un matériel résistant à la falsification. Vous les connectez via USB, NFC ou Bluetooth. Elles sont idéales pour la gestion des accès à privilèges, les environnements de postes partagés et les scénarios à haute sécurité nécessitant une attestation matérielle.
• Authentificateurs de plateforme : intégrés directement à vos appareils via Windows Hello, Apple Touch ID et Face ID. Selon la documentation FIDO2 de Microsoft, ces authentificateurs utilisent des modules de sécurité matériels : Trusted Platform Modules (TPM) sur Windows, Secure Enclaves sur les appareils Apple et keystores matériels sur Android. Vous vous authentifiez via des capacités biométriques et des clés cryptographiques stockées dans ces modules sécurisés par le matériel.
• Passkeys : identifiants FIDO découvrables, résistants au phishing par conception. Les passkeys liées à l'appareil sont stockées dans des modules de sécurité matériels et ne peuvent pas être exportées, offrant la plus grande assurance de sécurité. Les passkeys synchronisées sont synchronisées dans le cloud entre vos appareils via un chiffrement de bout en bout, privilégiant la commodité tout en respectant la définition cryptographique de l'authentification résistante au phishing.

Chacun de ces composants participe à une cérémonie d'authentification structurée qui bloque le phishing grâce à la liaison cryptographique au domaine. La section suivante explique étape par étape le fonctionnement de cette cérémonie.

Fonctionnement de la MFA résistante au phishing

La cérémonie d'authentification bloque le phishing grâce à la liaison au domaine au niveau du protocole. Lorsque vous initiez l'enregistrement, le site web du tiers de confiance génère un défi cryptographique contenant des données aléatoires uniques à cet enregistrement. Votre appareil client crée une paire de clés unique spécifique à ce domaine.

Votre authentificateur signe le défi avec la clé privée nouvellement créée, et le serveur FIDO stocke la clé publique associée à la fois à votre compte utilisateur et aux métadonnées de l'authentificateur. Lors de l'authentification, l'authentificateur demande une vérification biométrique, la saisie d'un code PIN ou une confirmation de présence physique. Le système vérifie que le domaine correspond à un identifiant enregistré pour cette origine spécifique. Si vous êtes sur un site de phishing, votre authentificateur ne trouvera pas d'identifiant correspondant et l'authentification échouera avant que vous ne puissiez compromettre la sécurité.

Chaque authentification génère des signatures cryptographiques uniques qui ne peuvent pas être réutilisées ou relayées. Cela rend les attaques de type homme du milieu inefficaces. Les attaquants peuvent créer des sites proxy identiques aux services légitimes, mais le défi cryptographique est lié au domaine d'origine spécifique. Le proxy ne peut pas forger la signature requise car il ne contrôle pas le domaine légitime et ne possède pas votre clé privée.

Cette protection au niveau du protocole distingue la MFA résistante au phishing des méthodes traditionnelles sur lesquelles la plupart des organisations comptent encore.

MFA résistante au phishing vs MFA traditionnelle

La MFA standard ajoute un second facteur à la connexion par mot de passe, mais la plupart des implémentations reposent encore sur des secrets partagés que les attaquants peuvent intercepter. La différence entre les approches traditionnelles et résistantes au phishing réside dans la possibilité ou non de voler les identifiants pendant le processus d'authentification lui-même.

Pourquoi les méthodes MFA traditionnelles échouent

Les mots de passe à usage unique par SMS ou appel vocal transitent par des réseaux télécoms où les attaquants peuvent les intercepter via le SIM swapping ou l'exploitation du protocole SS7. Les applications d'authentification génèrent des codes temporels que les utilisateurs saisissent dans les formulaires de connexion, et les proxies de phishing en temps réel capturent ces codes lorsque les utilisateurs les saisissent sur de faux sites. 

Les notifications push invitent les utilisateurs à approuver les demandes de connexion, mais les attaques par fatigue MFA bombardent les utilisateurs de demandes répétées jusqu'à ce qu'ils en approuvent une. Chacune de ces méthodes transmet un identifiant rejouable ou dépend du jugement de l'utilisateur pour distinguer les demandes légitimes des demandes frauduleuses.

Comment la MFA résistante au phishing comble la faille

La MFA résistante au phishing élimine ces deux problèmes. L'authentification FIDO2/WebAuthn et basée sur PKI utilise la cryptographie asymétrique où les clés privées ne quittent jamais le dispositif d'authentification et chaque réponse d'authentification est liée cryptographiquement au domaine demandeur. Aucun identifiant ne transite sur le réseau pour être intercepté par un attaquant. 

Aucune décision de l'utilisateur ne détermine si une demande est légitime car le protocole impose automatiquement la vérification du domaine. Google a signalé zéro attaque de phishing réussie contre ses plus de 85 000 employés après le déploiement des clés de sécurité FIDO, et la mise en œuvre par Microsoft de la MFA résistante au phishing protège désormais  92 % des comptes employés avec ces méthodes.

L'écart entre ces approches continuera de se creuser à mesure que les attaquants adoptent des  ingénieries sociales alimentées par l'IA qui rendent l'interception d'identifiants en temps réel plus rapide et plus convaincante. Cet écart croissant explique pourquoi les régulateurs et organismes de normalisation imposent désormais des méthodes résistantes au phishing.

Conformité et réglementations sur la MFA résistante au phishing

Les mandats fédéraux et les normes mondiales exigent ou recommandent désormais l'authentification résistante au phishing, faisant de la conformité un moteur principal d'adoption en plus des avantages de sécurité.

Les principaux cadres qui favorisent l'adoption incluent :

• Le mémorandum OMB M-22-09, publié en janvier 2022 dans le cadre du décret exécutif 14028, exige que toutes les agences fédérales mettent en œuvre la MFA résistante au phishing pour le personnel, les sous-traitants et les partenaires dans le cadre d'une stratégie Zero Trust. Le mémorandum stipule explicitement que les agences doivent cesser de prendre en charge les méthodes d'authentification qui ne résistent pas au phishing, y compris les codes SMS, les appels vocaux, les mots de passe à usage unique et les notifications push simples. Les systèmes gouvernementaux accessibles au public doivent également proposer des options résistantes au phishing aux utilisateurs généraux.
• Le  modèle de maturité Zero Trust de la CISA positionne la MFA résistante au phishing comme une exigence fondamentale dans son pilier Identité. Au niveau de maturité optimal, les organisations déploient l'authentification résistante au phishing pour tous les utilisateurs et tous les scénarios d'accès.
• La publication spéciale NIST  800-63B définit le niveau d'assurance d'authentification 3 (AAL3) comme nécessitant des authentificateurs matériels résistants au phishing avec preuve cryptographique de possession.

Au-delà du gouvernement fédéral américain, ces exigences influencent les secteurs réglementés à l'échelle mondiale. Les institutions financières, les organismes de santé et les sous-traitants de la défense travaillant avec des agences fédérales doivent respecter les mêmes normes d'authentification. La directive NIS2 de l'Union européenne exige des contrôles d'authentification renforcés pour les opérateurs d'infrastructures critiques, et des cadres privés comme PCI DSS 4.0 recommandent désormais l'authentification résistante au phishing pour l'accès administratif aux environnements de données de titulaires de carte.

Les organisations qui retardent l'adoption s'exposent à des risques réglementaires et assurantiels, car les assureurs cyber exigent de plus en plus la MFA résistante au phishing pour l'éligibilité aux polices. Indépendamment de la conformité, les avantages en matière de sécurité justifient à eux seuls l'adoption.

Principaux avantages de la MFA résistante au phishing

Vous éliminez les attaques de phishing d'identifiants. Les  36 % des consommateurs ayant subi un compromis de compte dû à des identifiants faibles ou volés selon l'enquête 2025 de la FIDO Alliance bénéficient d'une protection grâce à la liaison cryptographique qui rend le  vol d'identifiants techniquement impossible.

La MFA résistante au phishing protège contre les attaques qui compromettent systématiquement l'authentification traditionnelle :

• Attaques par SIM swapping : les attaquants convainquent les opérateurs de transférer le contrôle du numéro de téléphone, mais échouent car l'authentification est liée à des clés cryptographiques sur un matériel spécifique, et non à des numéros de téléphone.
• Attaques adversaire-au-milieu : la capture d'identifiants et de jetons de session échoue car chaque demande d'authentification nécessite de nouveaux défis cryptographiques spécifiques au domaine légitime.
• Attaques par fatigue MFA : le bombardement de demandes d'approbation échoue car l'authentification exige la possession physique du dispositif d'authentification avec vérification de la présence de l'utilisateur.

Ces mécanismes de protection apportent des améliorations concrètes à la sécurité, mais les organisations doivent également maintenir une visibilité au-delà de la couche d'authentification pour détecter les schémas d'accès anormaux indiquant un compromis de compte par des méthodes d'attaque non liées aux identifiants. Pour bénéficier de ces avantages, il faut toutefois surmonter plusieurs obstacles de mise en œuvre.

Défis de la mise en œuvre de la MFA résistante au phishing

Déployer la MFA résistante au phishing à l'échelle de l'entreprise n'est pas un simple changement de configuration. Les organisations font face à des obstacles architecturaux, opérationnels et stratégiques qui nécessitent une planification minutieuse pour être surmontés.

Compatibilité des applications héritées

Les applications héritées constituent la contrainte architecturale la plus importante. Selon les recommandations de la CISA et de la FIDO Alliance, FIDO2 et WebAuthn nécessitent des navigateurs web et systèmes d'exploitation modernes. Les applications utilisant des protocoles d'authentification hérités ne peuvent pas prendre en charge FIDO2 sans modifications architecturales.

Vous devez cartographier les méthodes d'authentification aux capacités applicatives : les applications web modernes prennent en charge nativement FIDO2/WebAuthn, les applications héritées peuvent nécessiter une authentification basée sur PKI ou des solutions de passerelle de protocole, et la connexion au système d'exploitation nécessite des clés de sécurité FIDO ou des authentificateurs de plateforme. Les anciens systèmes d'exploitation peuvent nécessiter des authentificateurs externes tels que des clés de sécurité FIDO2. Une migration complète vers FIDO2 peut s'étendre sur plusieurs années pour des environnements informatiques complexes, nécessitant des stratégies de déploiement progressif qui priorisent d'abord les utilisateurs et systèmes à forte valeur.

Intégration au cycle de vie des identités

L'intégration à la gestion du cycle de vie des identités nécessite également une planification rigoureuse. Vous devez intégrer le provisionnement et la suppression des authentificateurs dans les workflows IAM existants pour gérer les événements d'arrivée, de mobilité et de départ. Votre infrastructure serveur FIDO doit offrir des capacités en libre-service pour les utilisateurs, un contrôle administratif du cycle de vie, une intégration avec les passerelles API et une application des politiques alignée sur le modèle ICAM centralisé pour les déploiements d'entreprise.

Évolution des tactiques des attaquants

Les attaquants s'adaptent aux mesures défensives. Si la MFA résistante au phishing élimine le phishing d'identifiants et les techniques de contournement de la MFA traditionnelle, les attaquants déterminés se tournent vers d'autres méthodes. Vous faites toujours face à la  compromission des endpoints, aux vulnérabilités applicatives, à l'ingénierie sociale ciblant d'autres contrôles de sécurité et aux  attaques sur la chaîne d'approvisionnement. La MFA résistante au phishing offre une sécurité d'authentification robuste mais doit s'intégrer à des stratégies globales de défense en profondeur. Même en tenant compte de ces défis, de nombreuses organisations compromettent leurs propres déploiements par des erreurs évitables.

Erreurs courantes avec la MFA résistante au phishing

Les organisations qui déploient la MFA résistante au phishing peuvent encore affaiblir leur posture de sécurité par des négligences de mise en œuvre. Les erreurs les plus préjudiciables réintroduisent les mêmes vulnérabilités que l'authentification résistante au phishing était censée éliminer.

• Maintenir des options de secours non résistantes au phishing crée des failles exploitables. Les organisations déploient FIDO2 pour l'authentification principale mais conservent les codes SMS ou notifications push comme options de secours. Les attaquants identifient et ciblent ces mécanismes de secours, forçant les utilisateurs à emprunter des chemins d'authentification moins sûrs. Vous devez éliminer toutes les méthodes d'authentification héritées une fois le déploiement de la MFA résistante au phishing terminé, en bloquant l'authentification de base, les codes SMS et l'accès par mot de passe seul.
• Couverture insuffisante des appareils et plateformes crée des opportunités de contournement. Une planification de déploiement centrée uniquement sur les appareils gérés par l'entreprise laisse des failles pour les scénarios BYOD, l'accès des sous-traitants et la fédération de partenaires. Les attaquants manipulent les processus de connexion pour contourner la MFA en prétendant que les appareils ne prennent pas en charge l'authentification forte. Vous avez besoin de politiques d'application qui empêchent les attaques de rétrogradation d'authentification.
• Ne pas intégrer les authentificateurs aux workflows du cycle de vie des identités crée une charge opérationnelle et des failles de sécurité. Déployer des authentificateurs sans provisionnement autonome lors de l'intégration ou révocation autonome lors du départ conduit à des identifiants obsolètes. Selon le Playbook de gestion du cycle de vie des identités d'IDManagement.gov, les organisations ont besoin de directives sur « la prise en charge des authentificateurs résistants au phishing » dans les processus d'arrivée, de mobilité et de départ. Les processus manuels de gestion du cycle de vie des identifiants ne sont pas évolutifs et créent des fenêtres où d'anciens employés conservent des capacités d'authentification.
• Planification insuffisante de la récupération de compte crée des vulnérabilités supplémentaires. Si vous n'exigez pas l'enregistrement de plusieurs authentificateurs lors de l'inscription, les utilisateurs disposant d'un seul authentificateur risquent d'être bloqués s'ils perdent leur clé de sécurité ou remplacent leur téléphone sans migration des identifiants. Selon le guide de déploiement entreprise de la FIDO Alliance, exiger l'enregistrement de plusieurs authentificateurs évite le blocage de compte. Les mécanismes de récupération doivent conserver les propriétés de résistance au phishing pour éviter de créer des surfaces d'ingénierie sociale.

Chacune de ces erreurs a un point commun : elles introduisent des failles qui ramènent votre posture d'authentification aux mêmes faiblesses que la MFA résistante au phishing était censée éliminer. Les bonnes pratiques suivantes vous aident à les éviter.

Bonnes pratiques pour la MFA résistante au phishing

Les déploiements réussis suivent une approche structurée qui équilibre les gains de sécurité et la préparation opérationnelle. Ces pratiques s'appuient sur les recommandations de la CISA, les guides de déploiement entreprise de la FIDO Alliance et les implémentations documentées d'agences fédérales.

S'appuyer sur une infrastructure d'identité centralisée

Commencez par des plateformes centralisées de gestion des identités, des identifiants et des accès. L'implémentation FIDO du Département de l'Agriculture des États-Unis, documentée par la CISA comme un cas de réussite, a utilisé les plateformes SSO existantes pour activer les méthodes d'authentification FIDO. L'USDA a fourni une authentification résistante au phishing aux utilisateurs sans carte PIV grâce à une architecture centralisée. Vous obtenez un déploiement plus rapide et une meilleure expérience utilisateur en vous appuyant sur l'infrastructure d'identité existante.

Prioriser d'abord les utilisateurs et systèmes à forte valeur

Déployez immédiatement la MFA résistante au phishing pour les administrateurs système, les cadres, les juristes, le personnel RH et la direction. Ciblez les ressources fortement visées telles que les systèmes de messagerie, serveurs de fichiers,  systèmes d'accès à distance et consoles d'administration. Vous réduisez la concentration du risque tout en acquérant de l'expérience opérationnelle sur des populations limitées avant un déploiement à l'échelle de l'entreprise.

Mettre en œuvre une application progressive

Commencez par distribuer des identifiants résistants au phishing aux utilisateurs prêts pour l'authentification sans mot de passe sur des appareils gérés. Passez à l'application de politiques exigeant la MFA résistante au phishing pour l'accès aux ressources. Achevez la transition en exigeant que tous les utilisateurs s'authentifient avec des identifiants résistants au phishing. Cette approche par étapes évite les perturbations opérationnelles tout en maintenant les améliorations de la posture de sécurité à chaque phase.

Soutenir plusieurs méthodes résistantes au phishing

Prévoyez des stratégies d'authentification hybrides prenant en charge à la fois FIDO2 et les méthodes basées sur PKI. FIDO2 offre la meilleure expérience utilisateur pour les applications cloud tandis que l'authentification par certificat PKI fournit une infrastructure mature pour les systèmes hérités soumis à des exigences réglementaires strictes. Prendre en charge plusieurs méthodes résistantes au phishing offre de la flexibilité sans compromettre la sécurité en revenant à des options non résistantes au phishing.

Exiger l'enregistrement de plusieurs authentificateurs

Exigez l'enregistrement de plusieurs authentificateurs lors de l'inscription initiale pour éviter les scénarios de blocage de compte. Les organisations peuvent exiger à la fois des authentificateurs de plateforme et des clés de sécurité matérielles, ou prendre en charge plusieurs authentificateurs du même type comme identifiants de secours. Les processus de récupération doivent conserver les propriétés de sécurité cryptographique via des mécanismes tels que des authentificateurs de secours ou des procédures de récupération de compte sécurisées.

Éliminer les méthodes d'authentification héritées

Imposez l'élimination complète des méthodes d'authentification héritées une fois le déploiement suffisamment avancé. Votre moteur de politique bloque l'authentification de base, les codes SMS, l'accès par mot de passe seul et les notifications push traditionnelles sur toutes les applications. Des audits réguliers identifient les applications acceptant encore l'authentification héritée et priorisent leur migration ou leur mise hors service.

En suivant ces pratiques, vous obtenez une base d'authentification solide, mais l'authentification seule ne couvre pas l'ensemble de la surface d'attaque. Vous avez également besoin de visibilité sur ce qui se passe après la connexion des utilisateurs.

Renforcez la MFA résistante au phishing avec SentinelOne

La Singularity Platform de SentinelOne fournit des capacités de détection et de réponse aux menaces sur l'identité (ITDR) qui étendent la sécurité de l'authentification à l'activité post-connexion. La plateforme corrèle les événements d'authentification avec le comportement des endpoints, l'activité réseau et les actions des utilisateurs.  Purple AI accélère l'investigation des anomalies d'authentification via des requêtes en langage naturel, réduisant le volume d'alertes de 88 % et diminuant l'effort manuel des équipes de sécurité sur l'analyse des schémas d'authentification. Vous obtenez une visibilité sur les anomalies de vélocité d'authentification, les scénarios d'impossibilité géographique, les changements d'empreinte d'appareil et les écarts de schémas d'accès suggérant un usage abusif des identifiants.

Singularity Identity protège votre infrastructure d'identité avec des défenses en temps réel pour Active Directory et les fournisseurs d'identité cloud, y compris Entra ID. Lorsque des anomalies comportementales indiquent une élévation de privilèges inhabituelle, des tentatives de vidage d'identifiants ou un mouvement latéral après des événements d'authentification, la technologie Storyline de la Singularity Platform reconstitue le récit complet de l'attaque, permettant une investigation plus rapide et une réponse autonome.

La MFA résistante au phishing crée une base d'authentification structurellement sécurisée. Vous maximisez cet investissement en déployant des  outils de cybersécurité complémentaires qui surveillent l'activité post-authentification, détectent les anomalies comportementales indiquant un compromis et réagissent de manière autonome aux menaces ciblant des vulnérabilités au-delà de la couche d'identifiants.

Demandez une démo avec SentinelOne pour voir comment la corrélation des événements d'authentification avec le comportement des endpoints offre une visibilité complète sur les menaces.

Points clés à retenir

La MFA résistante au phishing élimine le phishing d'identifiants grâce à la cryptographie asymétrique et à la liaison au domaine qui rendent le vol d'identifiants structurellement impossible. La CISA désigne l'authentification FIDO/WebAuthn et basée sur PKI comme les seules méthodes résistantes au phishing approuvées. 

La MFA traditionnelle échoue systématiquement face aux attaques modernes, la fatigue MFA apparaissant dans 14 % des incidents et l'abus d'identifiants étant à l'origine de  90 % des violations d'applications web.