Découvrez pourquoi les codes SMS ne suffisent plus pour la MFA et quelles solutions d’authentification modernes, sûres et résistantes au phishing adopter en Suisse.

 

Pour de nombreuses années, l’activation de l’authentification multifacteur (MFA) a constitué un pilier essentiel de la sécurité des comptes et des appareils. La MFA reste indispensable, mais le paysage des menaces a évolué, rendant certaines méthodes historiques moins efficaces. La forme de MFA la plus courante – des codes à quatre ou six chiffres envoyés par SMS – est pratique et familière, et représente certes une amélioration par rapport au simple mot de passe. Mais le SMS repose sur une technologie vieillissante, et les cybercriminels disposent désormais de techniques fiables pour le contourner. Pour les organisations qui manipulent des données sensibles, la MFA par SMS n’est plus suffisante : il est temps d’adopter une MFA moderne, résistante au phishing, pour rester en avance sur les attaques actuelles. Le SMS n’a jamais été conçu comme un canal d’authentification sécurisé. Sa dépendance aux réseaux mobiles l’expose à des failles importantes, notamment dans certains protocoles télécoms tels que Signaling System No. 7 (SS7), utilisé pour la communication entre réseaux. Les attaquants savent que beaucoup d’entreprises reposent encore sur les SMS pour la MFA, ce qui en fait des cibles attractives. Par exemple, il est possible d’exploiter les vulnérabilités SS7 pour intercepter des SMS sans même toucher à votre téléphone. L’écoute, la redirection ou l’injection de messages peuvent être effectuées directement dans le réseau de l’opérateur ou lors de la transmission.

Les codes par SMS sont également vulnérables au phishing. Si une personne saisit son nom d’utilisateur, son mot de passe et son code SMS sur une page frauduleuse, les attaquants peuvent capturer les trois éléments en temps réel et accéder immédiatement au compte légitime. 

 

L’une des menaces les plus sérieuses liées à l’utilisation des SMS est le SIM swapping. Dans ce type d’attaque, un criminel contacte votre opérateur mobile en prétendant être vous et affirme avoir perdu son téléphone. Il demande alors le transfert de votre numéro sur une nouvelle carte SIM en sa possession. S’il y parvient, votre téléphone se retrouve hors service, tandis que l’attaquant reçoit tous vos appels et SMS, y compris les codes MFA de vos services bancaires ou de votre messagerie. Même sans connaître votre mot de passe, il peut réinitialiser vos identifiants et prendre le contrôle complet de vos comptes. Ce type d’attaque ne nécessite pas de compétences techniques avancées : il repose surtout sur des techniques d’ingénierie sociale visant le support client des opérateurs, ce qui en fait une méthode simple mais potentiellement dévastatrice. 

 

Pour contrer ces menaces, il est essentiel de réduire au maximum l’intervention humaine en adoptant une MFA résistante au phishing. Elle repose sur des protocoles cryptographiques qui lient chaque tentative de connexion à un domaine spécifique. L’un des standards les plus répandus est FIDO2, qui utilise des clés cryptographiques associées à un appareil et à un domaine. Même si un utilisateur clique sur un lien de phishing, l’application d’authentification ne libérera pas les identifiants si le domaine ne correspond pas. Cette technologie est également sans mot de passe, éliminant le risque de vol par phishing de mots de passe ou de codes à usage unique (OTP). Les pirates sont contraints de cibler l’appareil lui-même, une opération bien plus difficile que de tromper un utilisateur. 

 

Les clés de sécurité matérielles comptent parmi les solutions les plus robustes contre le phishing. Il s’agit de petits dispositifs physiques, semblables à une clé USB, que l’on branche à un ordinateur ou que l’on approche d’un smartphone. Pour se connecter, il suffit d’insérer la clé ou d’appuyer dessus : la clé effectue alors une vérification cryptographique avec le service. C’est extrêmement sécurisé, car il n’y a aucun code à saisir, et les attaquants ne peuvent pas voler votre clé à distance. Ils doivent la dérober physiquement, ce qui est nettement plus difficile.

 

Si les clés physiques ne sont pas envisageables, les applications d’authentification comme Microsoft Authenticator ou Google Authenticator constituent une nette amélioration par rapport au SMS. Les codes sont générés localement sur l’appareil, ce qui supprime les risques liés au SIM swapping ou à l’interception SMS. Les notifications push présentent toutefois certains risques. Les attaquants peuvent envoyer de nombreuses demandes d’approbation, provoquant une fatigue MFA : l’utilisateur finit par appuyer sur « approuver » pour stopper les alertes. Les applications modernes intègrent donc la saisie de numéro : l’utilisateur doit saisir dans l’app ce qui apparaît sur son écran de connexion, garantissant qu’il est bien présent devant son appareil.

 

Comme les mots de passe sont régulièrement compromis, les systèmes modernes adoptent les passkeys, des identifiants stockés sur l’appareil et protégés par la biométrie (empreinte digitale, reconnaissance faciale, etc.). Les passkeys sont résistantes au phishing et peuvent être synchronisées via des services tels qu’iCloud Keychain ou Google Password Manager. Elles offrent la sécurité d’une clé matérielle, mais avec la commodité d’un appareil que l’utilisateur possède déjà. Elles réduisent également la charge pour les équipes IT, puisqu’il n’y a plus de mots de passe à stocker ou à réinitialiser.

 

Abandonner la MFA par SMS nécessite un changement culturel. Les utilisateurs étant habitués à la simplicité du SMS, l’introduction de clés physiques ou d’apps d’authentification peut susciter des résistances. Il est crucial d’expliquer les raisons du changement, notamment les risques liés au SIM swapping et la valeur des informations protégées. Lorsqu’ils comprennent les enjeux, les utilisateurs adoptent plus facilement les nouvelles mesures. Un déploiement progressif peut aider pour le grand public interne, mais la MFA résistante au phishing doit être obligatoire pour les comptes privilégiés : administrateurs, responsables, direction.

 

Continuer à utiliser des techniques MFA obsolètes crée une illusion de sécurité. Même si ces méthodes satisfont certaines obligations de conformité, elles laissent les systèmes vulnérables à des attaques et des compromissions coûteuses, tant sur le plan financier que réputationnel. La modernisation des méthodes d’authentification offre l’un des meilleurs retours sur investissement en cybersécurité. Le coût des clés matérielles ou des solutions de gestion reste modeste comparé aux dépenses liées à un incident, à la réponse à une cyberattaque ou à la restauration des données. Votre entreprise est‑elle prête à dépasser les mots de passe et les codes SMS ? Nous sommes spécialisés dans le déploiement de solutions d’identité modernes, sécurisées et simples d’utilisation.