Le SMS reste la méthode 2FA (Authentification à deux facteurs) la plus populaire. Les études semblent toutefois affirmer que ce serait la moins sécurisée. S’y fier n’est pas une bonne idée. Voici pourquoi.
Authentification à deux facteurs par SMS : pourquoi c’est risqué ?
L’authentification à deux facteurs (2FA) apporte une couche de sécurité supplémentaire aux comptes en ligne. Ce dispositif de sécurité se décline dans plusieurs variantes, dont la méthode par SMS. Cette dernière fonctionne hors ligne. C’est l’un de ses principaux avantages. Les autres méthodes nécessitent une connexion Internet stable.
Le 2FA par SMS est simple d’utilisation. Une fois le compte configuré, l’utilisateur reçoit un mot de passe unique à chaque fois qu’il se connecte. Seulement voilà, le SMS est particulièrement vulnérable aux attaques. Déjà, la carte SIM peut être facilement retirée et installée dans un autre téléphone.
Par ailleurs, cette méthode est vulnérable à de nombreuses autres agressions comme le SIM Swapping. Auquel cas, l’attaquant transfère un compte de téléphone mobile et un numéro de téléphone vers une nouvelle carte SIM. Puisque cette nouvelle carte SIM est sous le contrôle de l’attaquant, il peut l’insérer dans un appareil et envoyer ou recevoir les messages SMS dirigés vers la victime.
Les acteurs malveillants peuvent également prendre le contrôle des SMS via une attaque SS7 (l’attaquant exploite une vulnérabilité du protocole Signalling System 7 pour écouter les messages texte).
Quelle est la meilleure alternative ?
L’authentification à deux facteurs par SMS est certes pratique, mais n’est clairement pas sécurisée. Les attaquants peuvent en effet intercepter facilement le code de sécurité à usage unique. Néanmoins, les experts estiment qu’y avoir recours serait mieux que rien. Toutefois, il ne faut jamais sous-estimer les risques.
À choisir, mieux vaut privilégier l’une des alternatives aux SMS, comme les codes d’accès TOTP (Time-Based One-Time Password). Il s’agit de codes générés par des applications mobiles comme Microsoft Authenticator ou Google Authenticator. Les codes sont actualisés toutes les 30 secondes. Ce court délai permet d’optimiser la sécurité.
Autre option, l’authentification à deux facteurs par notification push qui fonctionne avec une application dédiée. Après s’être connectés avec un nom d’utilisateur et un mot de passe, l’utilisateur reçoit une notification d’authentification. Il suffira alors de cliquer sur approuver pour « authentifier et autoriser l’accès ».
Selon les experts, il serait préférable d’utiliser un 2FA non SMS dans la mesure du possible. Associer le dispositif avec un mot de passe fort permet d’avoir la meilleure forme de sécurité pour n’importe quel compte en ligne.
- Partager l'article :