BFM Tech

Pas assez sûre, la double authentification par SMS pourrait bien disparaître

-

- - Darius Sankowski CCO

Envoyer un message texte avec un code à usage unique est désormais formellement déconseillé pour des raisons de sécurité. Les messages pouvant être interceptés assez facilement.

Au moment de réaliser un achat sur Internet, vous avez souvent du recevoir un SMS de votre banque avec un code à utiliser dans les minutes qui suivent. Un moyen rassurant de vous authentifier et de sécuriser votre paiement. Malheureusement, le procédé présente de sérieuses failles. C’est la raison pour laquelle le NIST (l’Institut national américain des normes et de la technologie) recommande désormais de ne plus l’utiliser dans son dernier rapport.

Les SMS peuvent être interceptés par des hackers

"En raison du risque d’interception ou de redirection des SMS, les développeurs de nouveaux systèmes devraient examiner sérieusement d’autres alternatives", écrit le NIST. Et d’annoncer la mort prochaine de cette pratique. "L’authentification Out of Band par SMS est obsolète et ne sera plus autorisée dans les prochaines versions de ce guide", prévient l’institut.

En attendant, il recommande aux développeurs de redoubler d’attention. Ils doivent notamment vérifier que le numéro pré-enregistré est associé à un réseau mobile et non à un service VoIP ou tout autre logiciel passant par Internet à la place du réseau téléphonique. L’idéal reste d’envoyer les codes via une application sécurisée et de demander à l’utilisateur de saisir également son mot de passe. Pour changer le numéro pré-enregistré, le NIST conseille enfin d’exiger deux facteurs d’authentification. Nous voici prévenus.

Amélie Charnay