Vous pensez que votre compte est bien protégé grâce à la double authentification par SMS ? Pas forcément. Les experts en cybersécurité tirent la sonnette d'alarme.
En matière de cybersécurité, ce qui était considéré comme sûr hier peut devenir une faille de sécurité aujourd'hui. L'authentification par SMS en est le parfait exemple. Longtemps considérée comme une méthode fiable de protection, elle est désormais pointée du doigt par les experts en sécurité informatique. L'affaire Salt Typhoon vient de démontrer de manière spectaculaire pourquoi il est urgent de changer nos habitudes.
La fin d'une époque : pourquoi le SMS n'est plus sûr.
Le problème fondamental du SMS réside dans sa nature même : il n'a jamais été conçu pour être sécurisé. Contrairement aux applications de messagerie modernes, les SMS transitent en clair sur les réseaux de télécommunication. C'est comme envoyer une carte postale plutôt qu'une lettre dans une enveloppe fermée : n'importe qui sur le chemin peut lire le contenu.
L'attaque Salt Typhoon a exploité cette vulnérabilité à une échelle sans précédent. Des pirates, vraisemblablement soutenus par le gouvernement chinois, ont réussi à intercepter des milliers de communications, y compris des codes d'authentification envoyés par SMS. Cette fuite massive a forcé les autorités américaines à revoir complètement leur position sur la sécurité des communications mobiles.
Le plus surprenant dans cette affaire est peut-être le revirement du FBI. L'agence, traditionnellement opposée au chiffrement fort, car il complique les enquêtes criminelles, recommande désormais l'utilisation d'applications de messagerie sécurisée comme Signal. Ce changement de position témoigne de l'ampleur de la menace que représentent les interceptions de communications non sécurisées.
La CISA va même plus loin en déconseillant formellement l'utilisation du SMS pour l'authentification multifacteur, particulièrement pour les personnalités à haut risque. Cette position reflète une nouvelle réalité : la sécurité des communications numériques ne peut plus être considérée comme acquise sans un chiffrement de bout en bout.
Voici les alternatives possibles.
Face à ces risques, les experts préconisent désormais l'utilisation d'alternatives plus sûres. Les applications d'authentification comme Google Authenticator, Microsoft Authenticator ou Authy génèrent des codes directement sur votre appareil, sans passer par le réseau téléphonique. Ces solutions utilisent des algorithmes de chiffrage sophistiqués et sont considérées comme beaucoup plus sécurisées.