La sécurité numérique est un enjeu croissant, mais nos habitudes peinent à suivre. La double authentification, censée protéger nos données sensibles, se révèle bien moins fiable qu’on ne le pense, surtout lorsqu’elle repose sur les SMS. Pourquoi ce système est-il risqué et quelles alternatives privilégier ?
Double authentification : pourquoi faut-il arrêter d’utiliser les SMS ?
Par
Publié le 12 janvier 2025 à 16h00
Depuis le début des années 2010, la double authentification, également appelée 2FA (Two-Factor Authentication), s'est imposée comme une solution essentielle pour renforcer la sécurité en ligne. Elle repose sur deux éléments distincts pour confirmer une identité : un mot de passe et un second facteur, souvent un code reçu par SMS. Cependant, ce mode de transmission soulève de nombreuses questions de sécurité. En 2025, à l'heure où les cyberattaques se multiplient, les experts mettent en garde contre l'usage du SMS dans la double authentification.
Qu'est-ce que la double authentification et pourquoi est-elle importante ?
La double authentification repose sur le principe de deux niveaux de vérification pour accéder à un compte. En général :
- Le premier facteur est un mot de passe connu uniquement de l'utilisateur.
- Le deuxième facteur peut être un code temporaire, une notification sur une application ou une donnée biométrique.
Ce mécanisme vise à compliquer l'accès aux pirates, même s'ils obtiennent le mot de passe principal. Initialement utilisée dans des environnements professionnels, la double authentification est devenue courante sur les plateformes grand public comme les réseaux sociaux, les services bancaires en ligne ou encore les comptes administratifs tels que la CAF.
Les limites de l'authentification par SMS : un système obsolète et vulnérable
Les risques liés au réseau téléphonique
L'envoi de codes par SMS repose sur le réseau téléphonique, exposé à des attaques comme :
- Le piratage par interception : les hackers peuvent détourner les messages en transit grâce à des outils tels que des IMSI-catchers.
- Le SIM swapping : cette fraude consiste à dupliquer une carte SIM en usurpant l'identité de l'utilisateur auprès de son opérateur.
Ces méthodes, bien que sophistiquées, sont de plus en plus utilisées par les cybercriminels ciblant des comptes sensibles.
Des retards et des dysfonctionnements fréquents
Recevoir un code par SMS dépend de la disponibilité du réseau. En cas de connexion instable, notamment à l'étranger, le code peut arriver en retard ou expirer avant son utilisation. Ces inconvénients augmentent les risques d'erreurs et de frustrations pour l'utilisateur.
Un système peu évolutif
Contrairement aux applications de double authentification, les SMS ne disposent pas d'une protection cryptographique avancée. Les plateformes comme Google Authenticator ou Authy génèrent des codes directement sur l'appareil, sans passer par un réseau, notamment les points d'attaque.
Les alternatives : sécuriser ses données avec des outils modernes
Applications dédiées : la solution recommandée
Les applications comme Google Authenticator, Microsoft Authenticator ou Authy offrent une sécurité accrue grâce à des algorithmes complexes et des codes créés localement. Elles fonctionnent même hors ligne, ce qui est idéal pour les utilisateurs souvent en déplacement.
Avantages :
- Codes générés localement, donc inaccessibles aux pirates.
- Disponibilité hors réseau.
- Facilité d'utilisation grâce à des interfaces intuitives.
Les clés de sécurité physique
Pour une protection maximale, il existe aussi des clés USB comme YubiKey offrent un accès sécurisé en exigeant une authentification physique. Elles sont particulièrement prisées dans les entreprises manipulant des données sensibles.
Des sites comme celui de la CAF sont très sensibles au piratage de données. Pour sécuriser votre espace personnel, privilégiez donc une application de double authentification ou une clé physique compatible. Pour vos comptes bancaires, certaines banques proposent des notifications de validation via leurs applications, bien plus fiables que les SMS.