Double authentification par SMS : pourquoi cette méthode semble être la moins sécurisée ?
Depuis plusieurs années maintenant, de nombreux sites internet demandent la double authentification par SMS afin de sécuriser leur accès et d’identifier l’utilisateur. Cependant, selon une récente enquête, cette méthode semble être vulnérable. En cause, la société suisse qui gère ce service : Fink Telecom.
Faut-il réellement faire confiance à la double authentification par SMS ? Cette méthode permet de s’identifier sur un site ou une application en rentrant un code reçu par message sur votre téléphone. Mais cette fonction est sous le feu des critiques depuis la publication d’une enquête de Bloomberg et de Lighthouse Reports.
Selon l’étude, les SMS en question ne sont pas envoyés par l’entreprise ou le site web que vous visitez, mais principalement par une société suisse, Fink Telecom Services. Cette dernière, méconnue du grand public, aurait des implications troublantes, notamment avec plusieurs agences d’espionnage.
Le SMS envoyé sur un autre appareil
D’une part, cette entreprise suisse est dans le viseur de cette enquête car elle est suspectée d’être liée à des affaires de piratage. Concrètement, elle aurait travaillé avec des agences de renseignement et des sociétés de surveillance afin d’infiltrer le téléphone de certains utilisateurs et de pouvoir les suivre. Mais le PDG de l’entreprise, Andreas Fink, nie toute ingérence.
D’un autre côté, l’authentification à deux facteurs (2FA) par SMS est la solution la moins sécurisée. Mais alors, pourquoi ? Avec cette méthode, des intermédiaires peuvent voir tout ce qui est transmis. Concrètement, votre numéro de téléphone peut être dérobé, ce qui veut dire que le code de sécurité risque d’être envoyé sur un autre appareil.
De plus, des données personnelles peuvent être subtilisées lors de l’envoie du SMS, notamment les noms des comptes ainsi que les codes de connexion. Face à ces dérives, plusieurs géants du numériques ont pris leurs dispositions. C’est le cas de Google qui a décidé d’abandonner progressivement l’authentification par SMS. Meta, de son côté, a informé ses partenaires de ne pas collaborer avec Fink Telecom.
D'autres alternatives plus sécurisées
Pour éviter de se faire usurper ses données personnelles, plusieurs alternatives existent pourtant. Afin de sécuriser au mieux ses comptes, il est donc préférable d’éviter la double authentification par SMS et de se tourner vers de nouvelles solutions. Ces dernières années, plusieurs applications sont apparues, comme Google Authenticator ou Microsoft Authenticator.
Ces dernières génèrent aléatoirement des codes valables seulement quelques secondes sur l’application. Mais les utilisateurs peuvent également passer par une clé d’identification. Cette fonction, disponible directement sur le smartphone, utilise une reconnaissance biométrique (empreinte digitale ou traits du visage) pour s’identifier. L’usager est donc libre de choisir une méthode plus sûre.
