L’authentification par SMS, c’est quoi ?

Les SMS (Short message service), également appelés textos, sont des messages que vous utilisez sans doute tous les jours pour communiquer avec vos amis et vos collègues. Les SMS envoyés sur votre téléphone peuvent être transférés ou synchronisés avec d’autres terminaux pour garantir que vous ne manquiez jamais le moindre message. Mais les SMS peuvent aussi être utilisés pour authentifier l’identité d’un utilisateur. Examinons comment fonctionne l’authentification par SMS et quel est son niveau de sécurité.

Proposer plusieurs options aux utilisateurs pour qu’ils vérifient leur identité aide à réduire les fraudes et à se défendre contre les acteurs malveillants. Les mots de passe sont la méthode d’authentification la moins sécurisée et ils peuvent être devinés, volés ou achetés sur le dark web ; c’est pourquoi ils doivent être renforcés par d’autres solutions. L’authentification par SMS n’est pas typiquement utilisée comme seule ou principale méthode d’authentification, mais on l’utilise fréquemment comme deuxième facteur d’authentification dans l’authentification à double facteur (2FA) et l’authentification multifacteur (MFA).

Les types d’authentification sont divisés en trois catégories principales, et l’authentification par SMS appartient au facteur de possession :

• Connaissance - Quelque chose que vous connaissez. Cela inclut les mots de passe, un code PIN (numéro d’identification personnelle) ou des réponses à des questions de sécurité.

   

• Possession - Quelque chose que vous possédez. Cela inclut les smartphones, les appareils mobiles, les jetons de sécurité, les porte-clés et les autres appareils qui peuvent soit générer soit recevoir des mots de passe ou des codes à usage unique (OTP).

   

• Biométrie - Quelque chose que vous êtes. Il s’agit d’un trait physique, comme une empreinte digitale ou le visage, qui peut être scanné pour s’authentifier.

Un mot de passe à usage unique (OTP) est créé en utilisant un algorithme et envoyé par SMS sur un numéro de téléphone associé à l’utilisateur. La séquence de caractères (des lettres et/ou des chiffres) générée automatiquement est valide pour la connexion à une seule session ou transaction.

L’utilisateur copie l’OTP sur la fenêtre d’authentification qui vérifie le code avec le serveur d’authentification pour s’assurer qu’ils correspondent bien. Si l’authentification par SMS est la dernière méthode de vérification requise, l’utilisateur peut alors accéder à son compte et aux ressources qui y sont associées. Si un troisième facteur d’authentification est nécessaire pour l’authentification multifacteur (MFA), comme cela peut être le cas pour les transactions de valeur élevée ou pour les connexions depuis des adresses IP suspectes, l’accès ne sera autorisé qu’une fois que la troisième preuve d’identité aura été apportée.

Il existe deux principaux types de mots de passe à usage unique ( OTP) utilisés comme codes d’authentification par SMS. Les deux utilisent des algorithmes pour générer un nouveau code aléatoire à chaque fois qu’un code est demandé. Étant donné que les utilisateurs ne créent pas ces mots de passe et les réutilisent sur plusieurs comptes, les OTP compromis ont moins de valeur que les mots de passe traditionnels pour les acteurs malveillants.

• Les mots de passe à usage unique et à durée limitée (TOTP) utilisent la durée comme facteur de déplacement et les mots de passe expirent typiquement au bout de 30 à 240 secondes. Si un utilisateur reçoit un TOTP plus tard que prévu, par exemple à cause d’une connexion lente, le TOTP pourrait expirer avant de pouvoir être utilisé et un nouveau code devra être demandé.

   

• Le mot de passe à usage unique basé sur HMAC (HOTP) est un mot de passe basé sur un événement qui utilise un compteur comme facteur de déplacement au lieu du temps. HMAC est l’acronyme de hash-based message authentication code (code d'authentification de message basé sur le hachage). Les HOTP peuvent rester valides pendant plus longtemps car ils ne sont pas à durée limitée.

Les codes envoyés par SMS peuvent être utilisés une seule fois, ce qui les rend plus sûrs que les mots de passe. Des acteurs malveillants déterminés pourraient tout de même réussir à pénétrer dans un réseau qui utilise l’authentification par SMS. Par exemple, des hackers ont exploité une faille dans le processus de récupération des comptes de Coinbase pour obtenir le jeton d’authentification à double facteur par SMS, s’introduire dans les comptes de 6 000 clients et virer des fonds depuis ces comptes. Ils avaient également accès aux adresses électroniques, aux mots de passe et aux numéros de téléphone associés à chaque compte, lesquels ont pu être volés par le biais d’un hameçonnage.

Les faiblesses des SMS pouvant être exploitées incluent :

• Les SMS sont envoyés en texte clair et sont visibles sur l’écran de l’utilisateur, ou en aperçu sur l’écran de veille lorsque le téléphone est verrouillé.

   

• L’échange de carte SIM est utilisé pour convaincre, de manière frauduleuse, un fournisseur cellulaire d’attribuer un numéro de téléphone à une nouvelle carte SIM. Des cartes SIM peuvent également être clonées et utilisées sur des téléphones différents.

   

• Une attaque par SS7 (Signaling System 7) peut être utilisée pour intercepter les SMS.

   

• Les attaques de l’homme du milieu peuvent intercepter des codes SMS entrants ou le code saisi sur une page web.

   

• Les appareils qui reçoivent des SMS, notamment les téléphones, les tablettes et les ordinateurs portables, peuvent être volés.

   

Pour ces raisons, l’authentification par SMS peut généralement être associée à d’autres facteurs d’authentification pour la rendre plus sûre.

Les entreprises doivent trouver un équilibre entre commodité et sécurité lorsqu’elles choisissent quelle méthode d’authentification utiliser. C’est particulièrement vrai avec les clients qui veulent des expériences fluides et sans frictions, tout en attendant des entreprises qu’elles maintiennent leurs comptes et leurs données en sécurité. Des clients frustrés peuvent renoncer et s’orienter vers un concurrent après une mauvaise expérience.

Étant donné que les personnes qui ont un appareil portable sont généralement habitués aux SMS, l’apprentissage pour recevoir des messages est moins compliqué que d’autres méthodes, mais les utilisateurs doivent se familiariser avec les fenêtres d’authentification qui y sont associées. L’authentification par SMS pose d’autres difficultés, notamment :

• Si le SMS met trop de temps à arriver, un mot de passe à usage unique et à durée limitée (TOTP) peut expirer avant d’avoir été utilisé, ou les utilisateurs pourraient être frustrés et abandonner l’expérience.

   

• Les OTP peuvent être difficiles à mémoriser et sont facilement mal orthographiés lorsqu’il n’est pas possible de faire un copier-coller.

   

• Un utilisateur pourrait devoir fermer un navigateur, ouvrir une appli SMS, copier l’OTP, puis rouvrir le navigateur web, ce qui ajoute trop de frictions à la procédure.

Il existe des moyens alternatifs pour que les utilisateurs reçoivent des OTP, notamment les applis d’authentification basées sur les portables proposées par Ping, Google et Microsoft. Pour en savoir plus sur les différentes formes d’authentification, consultez notre Guide complet sur l’authentification.