Activer le second facteur par SMS est l’une des meilleures décisions que vous puissiez prendre aujourd’hui. C’est aussi la première que vous devrez reconsidérer.
Les deux affirmations sont vraies en même temps, et c’est là toute la difficulté. Le débat dégénère en général en deux camps aussi bornés l’un que l’autre : ceux qui prennent le SMS pour de la vraie sécurité et ceux qui n’y voient que du théâtre. Le SMS vaut infiniment mieux que rien et reste, simultanément, le plus fragile des seconds facteurs d’usage courant. Il n’y a pas de contradiction. Il y a un escalier, et le SMS en est la première marche — largement au-dessus du sol.
Ce que le SMS fait bien
Sans second facteur, votre compte tient à un secret qui circule peut-être depuis des années dans une fuite qui ne vous concernait même pas. Quelqu’un récupère la liste, l’essaie sur un service après l’autre et, si vous avez réutilisé le mot de passe, il entre. Il ne vous a pas choisi : c’est votre ligne qui est tombée dans un tableur.
Le SMS casse ça à la racine. Dès qu’il y a un second facteur, vous attaquer cesse d’être une formalité automatique et devient un travail dirigé contre vous. Il faut savoir qui vous êtes, quel numéro vous utilisez et qui vous le fournit. Pour beaucoup, le jeu n’en vaut pas la chandelle : il y a des comptes plus faciles. Donc si un service ne propose que le SMS, la réponse est oui, sans nuance. Les nuances viennent après.
La faille n’est pas dans votre téléphone
On s’imagine que casser le SMS, c’est intercepter des ondes, cloner une puce ou infecter le mobile. Rien de tout cela n’est nécessaire. L’attaque qui emporte réellement des comptes, celle qui revient encore et encore dans les affaires publiques, c’est le SIM swapping, et elle consiste en quelque chose de beaucoup plus ennuyeux : quelqu’un appelle votre opérateur, dit qu’il a perdu sa SIM, répond à quelques questions de vérification et demande un duplicata. À partir de là, vos SMS arrivent chez lui.
Regardez bien ce qui ne s’est pas produit. Aucun chiffrement n’a été cassé. On n’a pas touché à votre téléphone. Vous n’avez rien fait de travers — et vous n’en savez rien, sinon que votre ligne devient muette d’un coup, ce qui, si vous dormez, peut mettre un moment à attirer votre attention. Le SIM swapping n’est pas une attaque technique contre vous : c’est de l’ingénierie sociale contre votre opérateur. Le maillon qui cède, c’est un conseiller du service client payé pour régler vite les incidents et à qui on vient de raconter une histoire parfaitement crédible, parce que perdre sa SIM, ça arrive à des gens tous les jours. Les affaires sont abondamment documentées et le schéma se répète avec une monotonie qui n’étonne plus personne.
Le plus gênant, c’est que vous n’avez pas voix au chapitre : votre sécurité dépend de la procédure de vérification d’une entreprise que vous n’avez pas choisie pour ça. Et il y a un second défaut, plus discret : votre numéro de téléphone n’est pas un secret. Vous l’avez donné au dentiste, au fournisseur d’électricité et à la moitié du pays. Un identifiant que vous distribuez à volonté fait ici office d’authentifiant.
La deuxième marche : une application
Le palier suivant, c’est le TOTP — ces codes à six chiffres qui tournent toutes les trente secondes dans une application comme celles de Google, Aegis, 1Password ou Bitwarden.
Le mécanisme est élégant : le service et votre application partagent un secret une seule fois, à la configuration, et à partir de là chacun calcule le même code à partir de ce secret et de l’heure. Rien n’est envoyé. Et toute la différence est là : si rien ne circule, il n’y a rien à détourner. Pas d’opérateur, pas de numéro, personne à appeler pour réclamer un duplicata. Le SIM swapping n’a plus de porte d’entrée.
C’est un grand pas et ça coûte cinq minutes. Mais ce n’est pas la fin non plus, parce que le TOTP conserve un angle mort très humain : le code, c’est vous qui le tapez à qui vous le demande. Si vous le saisissez sur une page qui ressemble à votre banque sans en être une, l’attaquant le récupère et le rejoue sur le vrai site dans les quelques secondes qu’il lui reste à vivre. Votre application génère un nombre ; elle ne sait pas où vous le collez.
La marche qui ne se laisse pas berner
La clé physique — le standard FIDO/U2F, une clé USB ou NFC, ou le mobile lui-même en guise d’authentificateur — règle exactement ce problème. À l’inscription, elle crée une paire de clés liée à l’origine : au domaine précis de ce service. À la connexion, le navigateur lui indique pour quel domaine la signature est demandée, et la clé signe un défi qui contient ce domaine. Si la page est une copie hébergée ailleurs, le domaine ne correspond pas et il n’en sort aucune signature que le vrai service accepterait.
Autrement dit : la clé n’est pas plus maligne que vous ; elle ne fait simplement pas confiance à votre jugement. Elle ne regarde pas le cadenas, ne lit pas l’URL, n’évalue pas si le courriel avait l’air légitime. Elle compare une chaîne de caractères à une autre. C’est le seul maillon qu’on ne convainc pas avec une belle histoire — et à ce stade vous aurez remarqué que les belles histoires sont précisément le problème.
« Restreint » ne veut pas dire « interdit »
Le NIST, dans son SP 800-63B, classe la vérification hors bande via le réseau téléphonique — c’est-à-dire le SMS — comme restreinte. Le mot mérite qu’on s’y arrête, parce que la nuance est tout le billet. Restreint n’est pas interdit : c’est une catégorie intermédiaire et délibérée. On peut continuer à l’utiliser, mais celui qui l’utilise contracte des obligations : évaluer le risque, prévenir les utilisateurs que ce canal a une faiblesse connue et avoir un plan de migration vers mieux.
C’est une position plus intelligente qu’un veto, et elle explique pourquoi le SMS tient toujours debout. Un mécanisme médiocre que les gens utilisent protège plus qu’un mécanisme excellent que personne n’active. Si on l’interdisait partout demain, une bonne partie de ces comptes ne monteraient pas d’une marche : ils se retrouveraient avec le mot de passe tout seul, c’est-à-dire au sol.
Que faire, dans l’ordre
- Si un service ne propose que le SMS, activez-le. Aujourd’hui. C’est la première marche qui fait gagner le plus de hauteur.
- S’il propose le TOTP, passez au TOTP et retirez le SMS en secours s’il vous laisse faire. Votre sécurité est celle de la méthode la plus faible que vous acceptez, parce que c’est l’attaquant qui choisit par où il entre.
- Sur ce qui compte vraiment — messagerie, banque, gestionnaire de mots de passe —, mettez une clé physique. À votre messagerie sont accrochés les « j’ai oublié mon mot de passe » de toute votre vie.
- Si votre opérateur permet un code PIN ou un blocage de portabilité, activez-le. Ça ne règle pas le fond, mais ça complique le duplicata à celui qui appelle.
- Et n’oubliez pas le premier facteur. Le 2FA est un second verrou, pas une amnistie pour le premier : un mot de passe long, unique et sorti du générateur, et si vous avez un doute sur l’un de ceux que vous utilisez déjà, passez-le au vérificateur.
La conclusion est ennuyeuse et c’est pour ça que presque personne ne la formule : le SMS est mauvais, et vous devriez l’utiliser si vous n’avez rien d’autre. La vraie sécurité ne consiste presque jamais à choisir l’option parfaite, mais à savoir laquelle est la pire des bonnes, à s’en servir tant qu’il le faut et à ne jamais la confondre avec le fait d’en avoir fini.
Sources : NIST SP 800-63B, qui classe la vérification hors bande via le réseau téléphonique public (SMS ou voix) comme méthode restreinte, avec les obligations d’évaluation du risque, d’information des utilisateurs et de plan de migration qu’implique cette catégorie · spécifications FIDO/U2F et WebAuthn, et leur vérification de l’origine (domaine) au moment de la signature · RFC 6238 (TOTP) · affaires publiques de SIM swapping abondamment documentées dans la presse et dans des procédures judiciaires.