Retour au blog
4 min de lecture

Pourquoi le 2FA par SMS ne suffit plus

Les codes SMS peuvent être volés. Découvrez de meilleures méthodes d'authentification à deux facteurs qui protègent vraiment vos comptes.

Pourquoi le 2FA par SMS ne suffit plus

Vous avez activé l’authentification à deux facteurs. Super ! Mais si vous utilisez des codes SMS, vous n’êtes pas aussi protégé que vous le pensez.

Codes SMS : Le problème

Quand vous vous connectez quelque part et recevez un code par SMS, ce code voyage à travers le réseau de votre opérateur. Et ce réseau peut être trompé.

SIM swapping : en gros, c’est quand un attaquant convainc votre opérateur de transférer votre numéro sur son téléphone. Il appelle le service client, se fait passer pour vous et prétend avoir perdu son téléphone. Une fois votre numéro sur sa carte SIM, il reçoit tous vos SMS — y compris ces codes de sécurité.

Ce n’est pas un truc de film de hackers éloigné de la réalité. La fraude au SIM swap a massivement augmenté et continue de croître. Avec la nouvelle technologie eSIM, les attaquants peuvent maintenant voler votre numéro en moins de cinq minutes.

Comment ça se passe

  1. Ils vous recherchent — Votre nom, date de naissance, adresse depuis les réseaux sociaux ou les fuites de données
  2. Ils appellent votre opérateur — Se faisant passer pour vous, prétendant avoir perdu leur téléphone
  3. Votre téléphone devient mort — Votre numéro passe sur leur appareil
  4. Ils réinitialisent vos mots de passe — En utilisant les codes SMS qui leur arrivent maintenant

Certains attaquants n’ont même pas besoin d’appeler : Ils exploitent d’anciens protocoles télécoms appelés SS7 pour rediriger vos messages directement.

Est-ce qu’une 2FA aide ?

Oui ! Microsoft a découvert que les comptes avec n’importe quelle forme de MFA ont 99,9% moins de chances d’être piratés. Le problème est que le SMS est la forme la plus faible de MFA. C’est mieux que rien, mais il existe des options bien plus solides.

Meilleures options

Applications d’authentification (Bien)

Au lieu de recevoir des codes par SMS, une application génère des codes directement sur votre téléphone. Les codes ne voyagent jamais sur aucun réseau — ils sont générés directement sur votre appareil.

Pourquoi une application séparée ? La plupart des gestionnaires de mots de passe offrent aussi des codes 2FA. Pratique. Mais si quelqu’un accède à votre gestionnaire de mots de passe, il obtient à la fois les mots de passe et les codes 2FA. Game over. Les garder séparés signifie qu’un attaquant doit compromettre deux applications pour entrer. Ne mettez pas tous vos œufs dans le même panier.

Applications recommandées :

  • Aegis — Gratuit, open source, Android uniquement. Haut niveau de personnalisation, sauvegardes chiffrées.
  • Ente Auth — Gratuit, open source, fonctionne partout y compris bureau et web.

Clés de sécurité matérielles (Mieux)

Un petit appareil USB que vous branchez quand vous vous connectez. Pas de codes à taper — juste toucher la clé.

Les options populaires incluent YubiKey et Google Titan Key. Elles fonctionnent avec la plupart des services majeurs : Google, Microsoft, GitHub et bien d’autres.

La clé utilise la cryptographie pour vérifier si vous êtes sur le vrai site web. Si vous avez cliqué sur un lien de phishing, elle ne fonctionnera pas sur les faux sites.

Passkeys (Le meilleur)

L’option la plus récente. Votre téléphone ou ordinateur génère une clé cryptographique unique pour chaque site. Rien à retenir, rien à taper.

Les passkeys sont implémentés dans iOS, Android, Windows et macOS. De plus en plus de sites web les supportent — Google, Apple, Microsoft, PayPal et d’autres.

Comme les clés matérielles, elles vérifient automatiquement si un site web est réel. Cela rend le phishing presque impossible.

Comment sécuriser vos comptes

  • Appelez votre opérateur et demandez un gel de portabilité ou un verrouillage SIM
  • Configurez une application d’authentification (Aegis ou Ente Auth)
  • Migrez tous vos comptes dépendant du SMS vers l’application, en commençant par l’email et la banque
  • Stockez vos codes de secours dans un endroit sûr, mais pas sur votre téléphone
  • Procurez-vous une clé de sécurité matérielle pour vos comptes les plus importants
  • Activez les passkeys partout où ils sont proposés

Sauvegarde ?

Il y a une peur associée aux applications d’authentification : et si vous perdez votre téléphone ?

  • Aegis permet d’exporter des sauvegardes chiffrées
  • Ente Auth synchronise entre les appareils
  • La plupart des services fournissent des codes de secours lors de la configuration 2FA — gardez-les en lieu sûr

Clés matérielles ? Achetez-en deux, gardez-en une comme sauvegarde.

Conclusion

Il y a une décennie, les codes SMS étaient acceptables. Aujourd’hui, ils sont un point faible que les attaquants savent exploiter.

Passer à une application d’authentification prend peut-être 30 minutes et vous rend considérablement plus sûr. Les clés matérielles et les passkeys vont encore plus loin.

Tags: security privacy passwords 2fa
Signal vs Session : Quelle …
×