Lorsqu'il s'agit de sécuriser vos mots de passe et vos données sensibles, toutes les méthodes d'authentification à deux facteurs (2FA) ne se valent pas. De nombreux services proposent encore la 2FA basée sur SMS, mais des plateformes soucieuses de la sécurité comme Psono l'évitent totalement en faveur d'options plus solides comme WebAuthn, YubiKey et TOTP (mot de passe à usage unique basé sur le temps).

Ce n'est pas seulement une préférence, c'est une nécessité pour une sécurité robuste. La 2FA basée sur SMS présente des vulnérabilités significatives, et des attaques réelles ont prouvé qu'elle est une cible facile pour les hackers. Dans cet article de blog, nous allons expliquer pourquoi la 2FA par SMS est faible et mettre en avant des attaques réelles qui démontrent ses failles.

🔒 La Faiblesse de la 2FA Basée sur SMS

L'authentification basée sur SMS est vulnérable à plusieurs méthodes d'attaque, notamment :

  • Échange de carte SIM (SIM Swapping) – Les attaquants trompent les opérateurs mobiles pour transférer le numéro de téléphone de la victime vers une nouvelle carte SIM, interceptant tous les codes SMS.
  • Attaques SS7 – Exploitation des failles du protocole mondial Signaling System No. 7 (SS7) pour intercepter à distance les messages SMS.
  • Hameçonnage & Ingénierie Sociale – Tromper les utilisateurs pour révéler les codes basés sur SMS via des pages de connexion factices.

Ces risques font de la 2FA par SMS l'une des formes d'authentification les plus faibles.

🛡️ Pourquoi Psono Utilise une 2FA Plus Forte

Psono privilégie la sécurité et ne supporte que des méthodes de 2FA robustes, notamment :

  • WebAuthn (FIDO2) – Utilise la cryptographie à clé publique et la biométrie ou des clés de sécurité matérielles (par exemple, YubiKey).
  • YubiKey & autres clés de sécurité – Jetons physiques qui nécessitent un accès direct pour authentifier.
  • TOTP (Google Authenticator, Authy, etc.) – Mots de passe à usage unique générés sur un appareil plutôt que transmis par SMS.

Ces méthodes sont nettement plus sécurisées car elles sont résistantes au hameçonnage, ne dépendent pas des opérateurs mobiles et éliminent les risques de prise de contrôle à distance.

📢 Attaques Réelles sur la 2FA par SMS

Pour illustrer pourquoi Psono refuse d'implémenter l'authentification basée sur SMS, voici des attaques réelles qui ont exploité ses faiblesses :

1. Le Ciblage des Télécommunications Américaines par la Chine (Exploits SS7 & Plus)

En février 2024, le FBI et la CISA ont émis un avertissement conjoint concernant des hackers parrainés par l'État chinois ciblant les réseaux de télécommunications commerciaux. Ces attaques ont exploité les vulnérabilités de la SS7—le protocole utilisé pour acheminer les messages SMS. Les attaquants ont pu intercepter les messages d'authentification, démontrant comment la 2FA par SMS peut être compromise à un niveau systémique.

2. L’attaque par échange de carte SIM sur le PDG de Twitter (X), Jack Dorsey (2019)

En 2019, le compte de Jack Dorsey, alors PDG de Twitter, a été piraté via une attaque par échange de carte SIM. Les hackers ont convaincu son opérateur mobile de transférer son numéro de téléphone vers leur carte SIM, leur permettant ainsi d'intercepter les codes SMS de 2FA et de prendre le contrôle de son compte Twitter.

3. Attaques par échange de carte SIM sur Coinbase (2021) – Des milliers de dollars volés

En 2021, Coinbase a révélé que plus de 6 000 clients ont perdu des fonds à cause d'une attaque massive par échange de carte SIM. Les hackers ont réinitialisé les mots de passe des victimes en utilisant les codes SMS interceptés, prenant ainsi le contrôle total des comptes et volant des cryptomonnaies.

4. La Fuite de Données de Reddit en 2018 – La 2FA par SMS a échoué

En 2018, Reddit a subi une fuite de données où des hackers ont accédé aux comptes des employés malgré la 2FA par SMS activée. Les attaquants ont utilisé des codes SMS interceptés pour contourner l'authentification, exposant ainsi des données sensibles des utilisateurs.

🚀 L'Avenir de la 2FA : Aller au-delà du SMS

Si vous utilisez encore la 2FA par SMS, il est temps de passer à une alternative plus forte comme l'authentification basée sur WebAuthn, YubiKey ou TOTP. L'engagement de Psono en matière de sécurité signifie qu'il ne fera pas de compromis en proposant l'authentification par SMS.

Vous voulez rester sécurisé ? Utilisez des clés de sécurité matérielles, des applications TOTP ou l'authentification biométrique—ne comptez jamais sur l'authentification basée sur SMS uniquement.

Sécurisez vos comptes de la bonne manière—abandonnez la 2FA par SMS !

Questions Fréquemment Posées sur l'Authentification à Deux Facteurs (2FA)

Qu’est-ce que l’Authentification à Deux Facteurs (2FA) et pourquoi est-elle importante?

L'Authentification à Deux Facteurs (2FA) est une couche de sécurité supplémentaire qui nécessite deux formes d'authentification avant d'accorder l'accès à un compte. Au lieu de n'utiliser qu'un mot de passe, vous avez également besoin d'un second facteur, tel que :

  • Un code à usage unique d'une application d'authentification (TOTP)
  • Une clé de sécurité matérielle (par exemple, YubiKey, Titan Security Key)
  • Authentification biométrique (empreinte digitale, reconnaissance faciale)

Elle réduit considérablement le risque d'accès non autorisé, même si un attaquant obtient votre mot de passe.

Quels sont les types de 2FA les plus forts?

Les seconds facteurs les plus sécurisés sont ceux qui sont résistants au phishing et ne peuvent être facilement interceptés. Ceux-ci incluent :

  • Clés de sécurité FIDO2/WebAuthn (par exemple, YubiKey, Titan Security Key)
  • Applications d’authentification basées sur TOTP (Google Authenticator, Authy, Aegis)
  • Passkeys (authentification sans mot de passe utilisant la biométrie ou des clés de sécurité matérielles)

Méthodes plus faibles (à éviter) :

  • 2FA par SMS – Sensible aux attaques par échange de carte SIM et aux exploits SS7
  • 2FA par email – Peut être compromis si votre email est piraté

Pourquoi la 2FA par SMS est-elle considérée comme non sécurisée?

La 2FA par SMS est vulnérable à de multiples méthodes d'attaque, telles que :

  • Attaques par échange de carte SIM – Les hackers trompent votre opérateur mobile pour transférer votre numéro vers leur SIM, leur permettant de recevoir vos codes de 2FA.
  • Exploits SS7 – Les attaquants interceptent les messages SMS en exploitant des vulnérabilités dans l'infrastructure des télécoms.
  • Attaques par hameçonnage – Des sites Web factices incitent les utilisateurs à entrer leurs codes SMS, permettant aux attaquants de se connecter.

🔹 Meilleures alternatives : Utilisez des clés de sécurité matérielles ou des applications TOTP au lieu de la 2FA par SMS.

Que se passe-t-il si je perds mon second facteur (par exemple, téléphone, YubiKey)?

Si vous perdez l'accès à votre deuxième facteur, vous pouvez récupérer votre compte en :

  1. Utilisant des codes de secours – De nombreux services fournissent des codes de secours à usage unique lors de la mise en place de la 2FA. Conservez-les en sécurité.
  2. Utilisant un appareil de secours – Certaines applications d'authentification permettent à plusieurs appareils de stocker des codes TOTP.
  3. Contactant le support – Certains services offrent une récupération de compte, mais cela peut être lent et nécessite une preuve d'identité.
  4. Utilisant une seconde clé matérielle – Si votre service le permet, enregistrez plusieurs clés de sécurité (principale + secours).

🔹 Astuce pro : Configurez toujours plusieurs méthodes d'authentification au cas où l'une échoue.

Les hackers peuvent-ils contourner la 2FA?

Bien que la 2FA améliore considérablement la sécurité, certaines méthodes peuvent être contournées avec des attaques avancées :

🚨 Méthodes d'attaque courantes :

  • Attaques par hameçonnage – Des pages de connexion factices incitent les utilisateurs à entrer à la fois leur mot de passe et leur code 2FA.
  • Attaques de type homme du milieu (MitM) – Interception de jetons d'authentification sur des réseaux non sécurisés.
  • Échange de carte SIM – Redirection des codes SMS vers le téléphone d’un attaquant.

Comment prévenir cela :

  • Utilisez une authentification résistante au phishing (WebAuthn, passkeys, clés de sécurité).
  • Activez l’authentification liée à l’appareil (afin que les jetons ne puissent pas être réutilisés à distance).
  • Soyez prudent avec les pages de connexion suspectes – Vérifiez toujours les URL avant d’entrer vos identifiants.
écrit par Sascha Pfeiffer le February 12, 2025
Documentation de Psono

Vous en voulez plus ?

Consultez nos derniers articles ici !