Pourquoi l'authentification par SMS n'est pas aussi sécurisée qu'on le croit

Elle est pratique, mais elle ne vaut pas une clé d'accès ou une application dédiée. La double authentification par SMS, qui consiste à recevoir un code par message pour ensuite le rentrer et valider son identité, est devenue un passage obligé aussi bien pour des sites internet que pour des jeux vidéo.

Mais si vous pensiez que ces SMS sont envoyés par l'entreprise ou le site web auquel vous essayez d'accéder, vous vous trompez. Une vaste enquête de Bloomberg et de Lighthouse Reports révèle que derrière ce service se cache souvent une entreprise suisse, Fink Telecom Services, qui a des liens avec plusieurs agences d'espionnage à travers le monde.

Le code par SMS, la pire solution pour sécuriser l'authentification

Les deux médias expliquent que Fink serait lié à des affaires de piratage, permettant d'infiltrer les comptes de certains utilisateurs, notamment dans le but de les suivre à la trace. Fink, par la voix de son patron et fondateur, a néanmoins réfuté toute idée d'analyse ou d'ingérence dans le trafic entre un opérateur et le client attendant son code.

Pour autant, l'authentification par SMS reste la solution d'authentification à "double facteur" (un mot de passe et une solution annexe) la moins sécurisée d'une manière générale. D'abord parce qu'il est possible de subtiliser votre numéro de téléphone, et donc de voir ce code atterir sur un autre appareil, mais aussi pour des raisons de données personnelles. Cela veut d'ailleurs aussi pour le code envoyé par mail.

En sachant cela, il n'est pas étonnant que des grands acteurs aient abandonné l'authentification par SMS, notamment Google et la messagerie chiffrée Signal. Meta a de son côté annoncé qu'elle avait déconseillé d'avoir recours à Flink à ses partenaires.

Quelles solutions pour s'identifier facilement?

D'autant qu'avec les années, de nouvelles solutions sont apparues. C'est le cas des applications comme Google Authenticator ou Microsoft Authenticator, qui permettent de générer un code de manière aléatoire et valable pour quelques secondes. Il y a aussi la clé d'identification, qui utilise quant à elle votre smartphone et vous libère de tout mot de passe.

Pour cela, grâce à un QR Code à scanner, vous pouvez ensuite vous authentifier avec l'empreinte de votre doigt ou les traits de votre visage. Enfin, pour être certain que tout soit parfaitement sécurisé, il convient d'utiliser un gestionnaire de mot de passe, qui pourra stocker et vous suggérer des mots de passe diversifiés et robustes.