TL;DR : L’essentiel
- Une technologie réseau vieillissante : Le réseau de télécommunication mondial repose sur des protocoles conçus il y a plusieurs décennies, permettant à des attaquants d’intercepter les messages de validation à distance sans laisser de trace.
- L’explosion du piratage de cartes SIM : Les fraudes basées sur le transfert frauduleux de ligne téléphonique ont bondi de manière spectaculaire, les signalements ayant été multipliés par dix en un an auprès de certains organismes de contrôle de la fraude.
- Des alternatives modernes prêtes à l’emploi : Des applications génératrices de codes temporaires uniques aux clés de sécurité physiques, les systèmes actifs offrent une protection imperméable aux interceptions cellulaires.
Le deuxième facteur d’authentification par SMS a longtemps été considéré comme le rempart idéal pour sécuriser les accès en ligne des entreprises et des particuliers. Pourtant, cette méthode montre aujourd’hui des limites structurelles critiques face à des attaques de plus en plus sophistiquées. Les équipes de sécurité recommandent désormais de migrer vers des solutions alternatives plus robustes pour éviter l’interception de données sensibles.
Le deuxième facteur d’authentification par SMS : un faux sentiment de sécurité ?
Le deuxième facteur d’authentification par SMS constitue une première barrière non négligeable par rapport à une absence totale de protection, mais ses fondations techniques sont aujourd’hui obsolètes. Lorsque les serveurs d’un service cloud ou d’un portail bancaire envoient un code de validation à un utilisateur, ce message textuel transite par une infrastructure de télécommunication complexe avant d’atterrir sur l’appareil mobile. C’est durant ce voyage invisible à travers des réseaux interconnectés que les vulnérabilités de l’infrastructure mobile se révèlent.
Les entreprises et les utilisateurs s’appuient sur cette méthode en pensant que le canal cellulaire est entièrement privé. En réalité, le réseau téléphonique mondial traite les SMS comme de simples flux textuels non chiffrés. Pour un attaquant équipé d’un matériel d’interception radio de la taille d’un dictionnaire ou disposant d’un accès à un commutateur réseau, intercepter ces flux revient à lire une carte postale ouverte. La chaîne de sécurité de cette méthode dépend ainsi entièrement des opérateurs de télécommunication, dont les protocoles de routage n’ont pas été conçus pour résister aux menaces numériques actuelles.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
La faille SS7 : quand le réseau mondial de télécommunication trahit les codes de validation
Comprendre pourquoi le deuxième facteur d’authentification par SMS vacille nécessite de s’intéresser au protocole SS7 (Signaling System No. 7). Ce système historique, développé dans les années soixante-dix, fait office d’aiguillage universel pour les opérateurs téléphoniques. Il leur permet d’échanger les informations de routage indispensables pour acheminer les appels, gérer la facturation en itinérance et transmettre les messages textuels d’un pays à l’autre.
Visuellement, le protocole SS7 fonctionne comme un immense réseau ferroviaire automatisé où toutes les lignes de chemin de fer se croisent sans contrôle d’identité strict aux frontières. Le problème réside dans l’absence de vérification d’identité mutuelle : si un opérateur (ou un attaquant ayant usurpé les accès d’un opérateur légitime) demande à rediriger les messages d’un numéro spécifique vers ses propres terminaux de réception, le réseau valide la requête automatiquement.
Une fois l’accès au réseau SS7 obtenu (parfois loué illégalement sur des places de marché spécialisées), le pirate utilise une console d’administration réseau pour soumettre une demande de mise à jour de localisation pour la cible. Le réseau redirige alors les flux de données. Le code d’authentification à usage unique s’affiche instantanément sur l’écran d’ordinateur de l’attaquant, tandis que le téléphone de la victime légitime ne reçoit aucune notification et reste totalement silencieux.
Le piratage de carte SIM : l’usurpation d’identité à distance
Outre les failles réseau, le deuxième facteur d’authentification par SMS est directement menacé par une technique d’ingénierie sociale : le piratage de carte SIM (souvent désigné sous le terme de « SIM swapping »). Cette méthode ne cible pas une faille logicielle complexe, mais exploite directement la chaîne de validation humaine au sein des services clients des opérateurs de téléphonie mobile.
Le processus d’attaque suit généralement un schéma précis :
- L’attaquant collecte au préalable des données personnelles sur sa cible (numéro de téléphone, date de naissance, adresse) grâce à des fuites de données publiques ou des campagnes d’hameçonnage.
- Le pirate contacte le support technique de l’opérateur mobile en se faisant passer pour le propriétaire légitime de la ligne. Prétextant la perte de son téléphone ou un dysfonctionnement matériel, il demande le transfert du numéro de téléphone vers une nouvelle carte SIM vierge qu’il s’est procurée.
- Sur la console de gestion de l’opérateur, le conseiller clientèle valide le transfert.
À cet instant précis, le téléphone de la victime perd instantanément sa connexion au réseau cellulaire, affichant la mention « Aucun service » ou « Appels d’urgence uniquement ». À l’autre bout de la chaîne, le téléphone de l’attaquant s’active, capte le signal réseau et commence à recevoir l’intégralité des appels et des SMS de validation destinés à sa cible. Le pirate peut alors réinitialiser les mots de passe des comptes financiers ou professionnels de la victime en interceptant les codes de confirmation.
Vers quelles alternatives migrer pour sécuriser les accès ?
Pour remplacer définitivement le deuxième facteur d’authentification par SMS, les organisations disposent aujourd’hui de plusieurs options technologiques bien plus robustes et simples à déployer :
- Les applications d’authentification (TOTP) : Ces outils (comme Microsoft Authenticator ou Google Authenticator) génèrent des codes temporaires à six chiffres directement sur l’appareil, sans dépendre du réseau cellulaire. Le protocole TOTP (Time-based One-Time Password) utilise un algorithme mathématique synchronisé entre le serveur et le smartphone. Même sans aucune connexion Internet ni réseau mobile, le code s’affiche sur l’écran d’application et change automatiquement toutes les trente secondes.
- Les clés de sécurité physiques (FIDO2) : Ces petits objets robustes ressemblant à des clés de stockage s’insèrent dans le port de l’appareil ou utilisent la technologie de communication sans fil à courte portée (NFC). Pour valider une connexion, l’utilisateur doit toucher physiquement le capteur de la clé. Cette méthode est virtuellement inviolable à distance car elle repose sur de la cryptographie asymétrique : le serveur vérifie la signature numérique générée par la clé sans qu’aucune donnée secrète ne transite sur le réseau.
- Les clés d’accès ou clés de passe (Passkeys) : Cette technologie moderne élimine le mot de passe traditionnel et le deuxième facteur en une seule étape sécurisée. L’authentification s’appuie sur le système de déverrouillage biométrique de l’appareil de l’utilisateur (empreinte digitale ou reconnaissance faciale), offrant un niveau de protection maximal combiné à une rapidité d’utilisation optimale.
Faut-il pour autant désactiver toute double authentification si seul le SMS est disponible ?
Le deuxième facteur d’authentification par SMS, malgré toutes ses faiblesses techniques intrinsèques, reste infiniment supérieur à une absence totale de double authentification. Face à des attaques opportunistes de masse, comme la simple devinette de mot de passe par dictionnaire ou le cassage automatique, le SMS constitue toujours une barrière utile qui stoppe la majorité des tentatives automatisées simples.
Néanmoins, pour les comptes critiques – messageries professionnelles, accès aux serveurs d’entreprise, portails financiers ou administratifs –, la transition vers une authentification hors ligne ou physique n’est plus une simple recommandation de confort, mais une nécessité opérationnelle urgente pour devancer les méthodes des cybercriminels.
Pour approfondir le sujet
Microsoft cessera d'envoyer des codes SMS pour les comptes personnels
Microsoft cessera d'envoyer des codes SMS pour les comptes personnels Lire la suite
Comment prévenir et réagir face à une arnaque à l'échange de carte SIM
Lorsque un journaliste Tech a été victime d'une attaque par échange de carte SIM, il l'a décrite comme une « histoire d'horreur » qui lui a fait perdre « des décennies de données ». Et il Lire la suite
Explication du piratage SS7 : que pouvez-vous faire ?
Une faille de sécurité permet aux pirates de lire les SMS, d'écouter les appels et de suivre les utilisateurs de téléphones portables. Quelles sont les conséquences et comment se protéger contre l'espionnage ? Lire la suite
Fraude à grande échelle par échange de carte SIM | Securelist
Si quelqu'un vole votre numéro de téléphone, vous rencontrerez de nombreux problèmes, d'autant plus que la plupart de nos systèmes modernes d'authentification à deux facteurs sont basés sur des SMS qui peuvent être interceptés grâce à cette méthode… Lire la suite
Actualités liées
Les banques allemandes vont cesser d'utiliser les SMS pour la transmission du deuxième facteur d'authentification – Help Net Security
Les banques allemandes abandonnent progressivement l'authentification client et la vérification des transactions par SMS (SMS-TAN), car cette méthode est jugée trop peu sûre. Lire la suite
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
1 commentaire
Commentaires désactivés.