Les deux sont meilleures que rien
Mettons cela de côté : si vous choisissez entre la 2FA par SMS et pas de 2FA du tout, activez les SMS. Un second facteur faible vaut mieux qu’aucun second facteur. Mais si vous avez le choix entre les SMS et une application d’authentification TOTP, l’application est la meilleure option. Voici pourquoi.
Comment fonctionne la 2FA par SMS
Quand vous vous connectez à un compte avec une 2FA par SMS, le service envoie un message texte contenant un court code numérique à votre numéro de téléphone. Vous saisissez le code dans le formulaire de connexion, et s’il correspond, vous êtes authentifié.
Simple. Largement pris en charge. Presque tout le monde a un téléphone qui reçoit des textos.
Le problème est que les SMS ont été conçus pour la communication, pas la sécurité. Les messages texte passent par le réseau de votre opérateur, et il y a plusieurs points le long de ce chemin où les choses peuvent mal tourner.
Comment fonctionne TOTP
TOTP génère des codes sur votre appareil en utilisant un secret partagé et l’heure actuelle. Si vous voulez l’explication complète, il y a un article séparé sur comment fonctionne TOTP. La version courte : votre application d’authentification et le serveur ont tous deux une copie de la même clé secrète. Ils savent tous deux quelle heure il est. Ils produisent donc indépendamment le même code à 6 chiffres toutes les 30 secondes. Aucun réseau nécessaire.
Où les SMS échouent
SIM swapping
C’est le plus gros problème. Une attaque par SIM swap se produit quand quelqu’un convainc votre opérateur téléphonique de transférer votre numéro vers une nouvelle carte SIM. L’attaquant appelle le support client, se fait passer pour vous (en utilisant des informations personnelles provenant de violations de données, de réseaux sociaux, ou de l’ingénierie sociale), et demande d’activer votre numéro sur son appareil.
Une fois qu’il contrôle votre numéro, il reçoit vos codes SMS. Il peut alors se connecter à n’importe quel compte où vous utilisez une 2FA par SMS.
Le SIM swapping n’est pas théorique. Il a été utilisé pour voler des cryptomonnaies, pénétrer dans des comptes d’entreprise, et cibler des journalistes et activistes. Le centre de plaintes pour crimes Internet du FBI a reçu plus de 2 000 plaintes de SIM swapping en une seule année.
Vulnérabilités SS7
SS7 est un ensemble de protocoles que les réseaux téléphoniques utilisent pour router les appels et textos. Il a été conçu dans les années 1970, quand les seules entités sur le réseau étaient des compagnies de télécoms de confiance. La sécurité n’était pas une priorité.
Des chercheurs ont démontré que des attaquants ayant accès au réseau SS7 peuvent intercepter des messages texte sans que la victime le sache. Ce type d’attaque nécessite une certaine sophistication technique et un accès réseau, donc ce n’est pas quelque chose qu’un script kiddie random fait. Mais des acteurs étatiques et des groupes criminels bien financés l’ont utilisé.
Dépendance réseau
Les SMS nécessitent un service cellulaire. Pas de signal, pas de code. Si vous voyagez internationalement, dans un sous-sol, ou quelque part avec une couvrance spotty, vous pourriez ne pas pouvoir vous connecter.
TOTP fonctionne hors ligne. Le code est généré localement sur votre appareil. Vous pourriez être en mode avion, sur un sous-marin, où que ce soit. Tant que l’horloge de votre appareil est à peu près correcte, les codes fonctionnent.
Retards de livraison
Les textos arrivent parfois en retard. La congestion des opérateurs, les problèmes de réseau, ou le routage international peuvent retarder un SMS de quelques secondes ou même minutes. Si le code expire avant que vous ne le receviez, vous devez en demander un nouveau. Pénible, et occasionnellement un vrai problème quand vous devez vous connecter rapidement.
Les codes TOTP sont disponibles instantanément. Vous ouvrez l’application, et le code est là.
Où les SMS ont un avantage
La commodité. Vous n’avez pas besoin d’installer une application. Vous n’avez pas besoin de scanner des QR codes. Vous n’avez pas besoin de comprendre ce qu’est une “clé secrète”. Le service vous envoie un code par texto, et vous le saisissez. Pour les personnes qui ne sont pas à l’aise avec une application d’authentification, les SMS sont plus faciles à configurer et utiliser.
Il y a aussi la question de la sauvegarde. Si vous perdez votre téléphone, vous pouvez obtenir une nouvelle SIM avec le même numéro de votre opérateur. Récupérer l’accès à une application d’authentification peut être plus difficile si vous n’avez pas configuré de sauvegardes.
L’écart de sécurité, en termes simples
La différence fondamentale : les codes TOTP ne transitent jamais sur un réseau. Ils sont générés sur votre appareil et saisis dans un formulaire de connexion. C’est tout. Il n’y a pas de message à intercepter, pas d’opérateur à manipuler, pas de vulnérabilité de protocole à exploiter.
Les codes SMS transitent par une infrastructure que vous ne contrôlez pas : le réseau de votre opérateur, le routage SS7, les tours cellulaires. Chaque saut est un point d’interception potentiel.
Le NIST (le National Institute of Standards and Technology américain) a signalé les SMS comme un authentificateur “restreint” dès 2016, recommandant que les services se tournent vers des méthodes basées sur des applications ou du matériel. Cette recommandation n’a pas changé.
Comparaison pratique
| SMS | TOTP | |
|---|---|---|
| Nécessite un service cellulaire | Oui | Non |
| Vulnérable au SIM swapping | Oui | Non |
| Vulnérable à l’interception SS7 | Oui | Non |
| Difficulté de configuration | Faible | Faible-moyenne |
| Livraison du code | Parfois retardée | Instantanée |
| Fonctionne hors ligne | Non | Oui |
| Standard ouvert | Non | Oui (RFC 6238) |
La conclusion
Si un service offre TOTP comme option, utilisez-le. La configuration prend une minute, et vous obtenez un second facteur significativement plus sécurisé. Si les SMS sont la seule option disponible, utilisez-les quand même. N’importe quel second facteur réduit votre risque comparé à un mot de passe seul.
Pour un générateur TOTP gratuit basé sur navigateur que vous pouvez essayer maintenant, consultez 2fa.zip.