Ce système par SMS n’est pas infaillible pour protéger vos comptes, voici comment renforcer votre sécurité

Contrairement à ce que l'on peut penser, l'authentification à double facteur par SMS est loin d'être infaillible. Toutefois, il suffit de procéder à quelques modifications pour renforcer considérablement la sécurité de vos comptes. On vous explique tout. 

article 2FA sécurité SMS
Crédits : Adobe Stock

L'authentification à double facteur est un mécanisme efficace, et essentiel, pour protéger l'accès à vos comptes et vos informations personnelles. Pour les néophytes, la double authentification ou 2FA est une fonctionnalité qui permet de renforcer la sécurité de vos comptes. Elle agit notamment comme une protection supplémentaire en cas de vol de mot de passe.

Le principe est simple : en plus de l'identifiant et du mot de passe, les services vous demanderont une confirmation de plus en vous envoyant un code provisoire par SMS, par mail, via une application dédiée ou bien en exploitant la reconnaissance biométrique de votre smartphone (Face ID, lecteur d'empreinte digitale, etc.).

article 2FA sécurité SMS
Crédits : Adobe Stock

La 2FA par SMS, une méthode trop vulnérable

Seulement, ce qu'on a tendance à oublier, c'est qu'il est primordial de choisir la bonne méthode d'authentification pour vous assurer une sécurité optimale. Pour cause, si elle est pratique par de nombreux aspects, la vérification par SMS est sans aucun doute la méthode la plus vulnérable. En effet, les pirates ont aujourd'hui à leur disposition de nombreuses méthodes pour récupérer votre numéro de téléphone et accéder à ces codes.

Dans cet article, nous allons revenir justement sur les risques encourus avec la 2FA par SMS avant de vous donner quelques conseils pour renforcer votre sécurité.

Le Sim Swapping, la principale menace

Le Sim Swapping est l'une des rares techniques de piratage qui exploite justement les faiblesses de la 2FA par SMS. Pour résumer, cela consiste à prendre le contrôle de votre numéro de téléphone en dupant votre opérateur . Cette méthode repose sur deux étapes essentielles : la collecte d'informations et la manipulation du FAI.

En premier lieu, le pirate va d'abord chercher à obtenir des renseignements sur vous, comme le nom, l'adresse, la date de naissance ou encore l'adresse mail et les services que vous utilisez.

article 2FA sécurité SMS
Crédits : Adobe Stock

Autant d'informations qu'il peut récupérer en exploitant une faille de sécurité, à l'aide d'une campagne de phishing, en espionnant vos réseaux sociaux ou bien en usurpant l'identité d'un tiers de confiance (service client, établissement bancaire, etc.).

Ceci fait, l'escroc va ensuite appeler votre opérateur en se faisant passer pour vous. S'il a suffisamment d'informations vous concernant à sa disposition, il arrivera sans mal à convaincre le FAI qu'il s'agit bien de vous. Il ne reste lui plus qu'à prétendre la perte/vol de votre téléphone avant de demander le transfert du numéro sur une nouvelle carte SIM. En l'occurrence, la sienne. Résultat, le hacker va recevoir tous vos SMS, y compris ceux dédiés à la 2FA.  A partir de là, accéder à l'ensemble de vos comptes est un jeu d'enfant. D'après les experts en sécurité informatique de Kapersky, 65 % des Français ont déjà été victimes de SIM Swapping, avec un préjudice moyen de 10 000 euros par personne !

article 2FA sécurité SMS
Crédits : Adobe Stock

Comment savoir qu'on est victime d'un SIM Swapping ?

Sans surprise, détecter un SIM Swapping est loin d'être évident. Les hackers font généralement en sorte d'être discret pour conserver le contrôle de votre numéro le plus longtemps possible et multiplier les petites opérations bancaires, poursuivre la récupération de données personnelles, etc.

Toutefois, certaines anomalies peuvent vous mettre la puce à l'oreille :

  • des pertes subites du signal mobile
  • si vous recevez des notifications de connexion depuis des appareils inconnus ou des alertes suspectes de changement de mot de passe
  • si vous ne recevez plus certains SMS, surtout ceux dédiés à la 2FA

Les SMS sont une proie facile

L'autre problème avec le 2FA par SMS, c'est que les SMS utilisés pour l'envoi de codes ne sont pas chiffrés de bout en bout. Par conséquent, un pirate peut très bien les consulter, en exploitant par exemple une attaque de type Man-In-The-Middle.

Pour résumer, cette méthode consiste d'abord à s'infiltrer dans le réseau utilisé par la victime. Pour ce faire, il peut par exemple créer un faux point d'accès Wi-Fi dans un espace public qui ne requiert pas de mot de passe. Si la victime s'y connecte, l'attaquant peut accéder à l'ensemble des échanges de données réalisés via différentes techniques comme l'usurpation d'adresse IP, d'adresse ARP ou de serveur DNS.

article 2FA sécurité SMS
Crédits : Adobe Stock

Gare au recyclage des numéros de téléphone

Il faut également revenir sur une autre menace que l'on a tendance à oublier : le recyclage des numéros de téléphones par les opérateurs. Lorsqu'un numéro de téléphone n'est plus utilisé par un client (après une résiliation sans portabilité par exemple), les FAI finissent par le réaffecter à un autre.

Comme le précise l'ARCEP, en charge du plan national de numérotation téléphonique, l'opérateur peut réattribuer le numéro lorsqu'il le souhaite, dans un délai toutefois inférieur à 45 jours, ni supérieur à 120 jours.

article 2FA sécurité SMS
Crédits : Adobe Stock

Là où le bât blesse, c'est que les pirates ciblent particulièrement ces numéros recyclés. En les récupérant, que ce soit via du SIM Swapping ou de l'ingénierie sociale, ils pourront accéder aux comptes liés à ces numéros. Pour cause, lorsqu'on change de numéro, on a pas forcément le réflexe de changer ses coordonnées téléphoniques sur l'ensemble des sites/services où il est enregistré.

Par conséquent, si vous tentez de vous connecter à l'un de ses comptes avec la 2FA par SMS, le nouveau propriétaire du numéro recevra les codes à votre place. N'oubliez donc pas de changer immédiatement votre numéro sur tous vos services pour éviter ce genre de désagréments.

Comment renforcer la sécurité du 2FA ?

Vous l'aurez compris, l'idée est donc d'abandonner la 2FA par SMS pour une autre méthode d'identification plus fiable et robuste. On vous conseille par exemple de faire appel à une application dédiée comme Google Authenticator ou Microsoft Authenticator. 

Ces applis se chargent de générer des codes d'identification uniques localement sur votre appareil. De cette manière, impossible d'y accéder, à moins bien sûr d'avoir un accès physique à votre smartphone. De plus, il est possible de les obtenir en étant hors-ligne. Autre avantage, les codes générés restent valables uniquement 5 minutes et sont modifiés une fois ce délai écoulé.

article 2FA sécurité SMS
Crédits : Google Authenticator

Une autre alternative intéressante consiste à opter pour une clé de sécurité. Ces petits appareils, semblables à une clé USB, permettent de limiter l'accès à un logiciel ou un compte. Pour le déverrouiller, il faut impérativement insérer la clé sur votre appareil. Là où le bât blesse, c'est que ces outils ont un certain coût. En outre, il ne vaut mieux pas la perdre ou se la faire voler si l'on veut continuer à accéder à ses comptes.

Notez enfin que certains services ont d'ores et déjà abandonné les SMS pour la 2FA. C'est le cas de Google sur Gmail, qui utilise désormais des QR Code pour confirmer la connexion. La firme a également instauré les passkeys sur ses applis et les Pixel. Elles permettent de se connecter en faisant appel à la reconnaissance faciale et le capteur d'empreintes digitales de votre smartphone. Une méthode bien plus sécurisée.


La rédaction vous conseille aussi...

Réagissez à cet article !

Demandez nos derniers articles !

The Mandalorian & Grogu : date de sortie, histoire, casting, tout ce qu’il faut savoir sur le retour de Star Wars au cinéma

Le duo le plus célèbre de la galaxie s’apprête à franchir une nouvelle étape. Après trois saisons à succès sur petit écran, Din Djarin et son apprenti Grogu font le…

Des fuites chez Samsung, un logiciel Windows piégé par un malware, c’est le récap’ de la semaine

Samsung dévoile malgré lui ses futurs smartphones pliables, un malware menace les PC Windows, Xiaomi propose de booster vos anciens téléphones, c’est le récap’ de la semaine. Cette semaine, le…

Test Honor 600 Pro : un smartphone équilibré et vraiment convaincant

Après le Honor 600, c’est au tour de sa version « Pro » de passer à la moulinette de nos tests. Plus cher et, surtout, plus ambitieux, le Honor 600 Pro reprend…

L’iPhone 18 Pro aurait une nouvelle technologie d’écran, pour quels bénéfices ?

Apple intégrerait pour la première fois des écrans de technologie LTPO+ pour ses iPhone 18 Pro, plus performants que les affichages LTPO traditionnels. Les iPhone 18 Pro et 18 Pro…

L’aide à la rédaction par IA de Gmail s’améliore, voici ce qui change

L’outil d’aide à la rédaction par IA de Gmail devient plus pertinent en prenant désormais en compte le contexte personnel de l’utilisateur. Des options de personnalisation du ton et du…

Instagram supprime le chiffrement de bout en bout, vos messages privés ne sont plus protégés

La sécurité de vos messages privés sur Instagram a pris un coup. Le réseau social vient d’annoncer la fin de la prise en charge du chiffrement de bout en bout,…

Les consoles portables sous Windows vont gagner en autonomie grâce à cette initiative de Xbox

Le projet Green Leaf de Xbox vise à réduire la consommation d’énergie des jeux afin d’améliorer l’autonomie des consoles portables tournant sous Windows. Xbox est au four et au moulin…

Le air fryer Ninja DualZone XL passe à petit prix en cumulant ces 2 offres, c’est le moment d’en profiter !

Vous cherchez un airfryer polyvalent pour cuisiner pour toute la famille ? La friteuse sans huile Ninja DualZone XL profite d’une grande capacité de 7,6 L divisée en deux zones….

Avec Android 17, l’écran d’accueil va enfin devenir plus personnalisable pour les Pixel

Google pourrait enfin laisser les utilisateurs supprimer la fameuse barre de recherche de l’écran d’accueil des Pixel dans une prochaine version d’Android 17. Le widget de barre de recherche Google…

Une fonctionnalité discrète mais très appréciée de Google Photos disparaît cet été. Elle concerne les utilisateurs qui sauvegardent leurs photos depuis un ordinateur. Google a déjà fixé les dates, et…

PC

Retrouvez sur Phonandroid toute l’actualité autour de l’OS mobile de Google. Le site est une véritable mine d’or autour des produits Android et bien plus ! Vous cherchez un téléphone ou souhaitez maîtriser parfaitement le votre ? Nos articles, dossiers et tutoriels sont là pour vous informer et vous guider. Votre smartphone n’aura plus aucun secret pour vous. Nous vous ferons découvrir les meilleures applications android sur le Google Play. Si les tablettes vous intéressent, vous pourrez suivre l’actualité des différentes marques. Elles sont nombreuses et s’y retrouver est compliqué. Phonandroid et son forum sont là pour vous informer et vous guider.