DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
Navigation
  • Cyber-attaques / fraudes
  • Intelligence artificielle
  • Failles / vulnérabilités
  • Pertes / vols de données
  • Cybercrime
  • Législation
Les derniers articles
  • Illustration conceptuelle de cybersécurité montrant un bouclier numérique vert lumineux avec une serrure centrale, sur fond sombre de réseaux de données, de circuits imprimés et une silhouette de hacker dans l'ombre. Image d'en-tête pour la veille hebdomadaire.
    Cybersécurité : les 11 actualités majeures du 12 juillet 2026
  • Illustration conceptuelle divisée en diagonale : à gauche, le drapeau de l'Union européenne, et à droite, un doigt pointant vers un écran tactile affichant un processeur marqué AI (intelligence artificielle) sur fond de circuits bleus lumineux. Cette image symbolise le nouveau plan d'action de l'UE pour la cybersécurité et l'IA par lequel l'UE souhaite se protéger contre les cybermenaces.
    Plan d’action cybersécurité et IA : l’UE souhaite se protéger
  • DCOD Signalement des failles dIA
    Signalement des failles d’IA : FLARE-AI propose sa solution
  • Illustration pour la veille cybercriminalité et crypto : une paire de menottes en métal repose sur un clavier d'ordinateur au premier plan. En arrière-plan sombre, une silhouette de hacker encapuchonné fait face à un réseau lumineux d'icônes de cryptomonnaies interconnectées, incluant les symboles du Bitcoin et de l'Ethereum, dans des teintes bleues et rouges.
    Cybercriminalité : les 11 opérations et arrestations du 10 juillet 2026
  • Une photographie de studio nette montrant deux mains portant des gants de boxe s'affrontant sur un fond gris neutre. La main gauche porte un gant de boxe blanc avec trois bandes fuchsia fuchsia, associée au logo étoile orange et au texte 'Claude' superposé. La main droite porte un gant de boxe noir uni, associée au logo vagues stylisées et au texte 'Alibaba' superposé. Les deux paires se font face dans un geste d'affrontement ou de combat symbolique. Le filigrane 'dcod.ch' est en bas à droite. Les logos et textes sont clairs.
    Alibaba bannit Claude Code après la découverte d’un mouchard
Suivez en direct
DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
Cybersécurité • IA • Tech

Capter l'info, retenir l'essentiel. Pour les pros et passionnés.

DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
  • Cyberattaques
  • Vulnérabilités
  • Vols de données
  • Cybercrime
  • IA & Tech
Cybersécurité • IA • Tech

Capter l'info, retenir l'essentiel. Pour les pros et passionnés.

  • Failles / vulnérabilités

Pourquoi abandonner le deuxième facteur d’authentification par SMS

  • Marc Barbezat
  • 23 juillet 2019
  • 5 minutes de lecture
Une photographie représentant deux personnes sur leur mobile et utilisant le deuxième facteur d'authentification par SMS
Le deuxième facteur d’authentification par SMS présente des faiblesses critiques face aux pirates. Les experts recommandent des alternatives robustes.

TL;DR : L’essentiel

  • Une technologie réseau vieillissante : Le réseau de télécommunication mondial repose sur des protocoles conçus il y a plusieurs décennies, permettant à des attaquants d’intercepter les messages de validation à distance sans laisser de trace.
  • L’explosion du piratage de cartes SIM : Les fraudes basées sur le transfert frauduleux de ligne téléphonique ont bondi de manière spectaculaire, les signalements ayant été multipliés par dix en un an auprès de certains organismes de contrôle de la fraude.
  • Des alternatives modernes prêtes à l’emploi : Des applications génératrices de codes temporaires uniques aux clés de sécurité physiques, les systèmes actifs offrent une protection imperméable aux interceptions cellulaires.
▾ Sommaire
TL;DR : L’essentielLe deuxième facteur d’authentification par SMS : un faux sentiment de sécurité ?La faille SS7 : quand le réseau mondial de télécommunication trahit les codes de validationLe piratage de carte SIM : l’usurpation d’identité à distanceVers quelles alternatives migrer pour sécuriser les accès ?Faut-il pour autant désactiver toute double authentification si seul le SMS est disponible ?Pour approfondir le sujetActualités liées

Le deuxième facteur d’authentification par SMS a longtemps été considéré comme le rempart idéal pour sécuriser les accès en ligne des entreprises et des particuliers. Pourtant, cette méthode montre aujourd’hui des limites structurelles critiques face à des attaques de plus en plus sophistiquées. Les équipes de sécurité recommandent désormais de migrer vers des solutions alternatives plus robustes pour éviter l’interception de données sensibles.

Le deuxième facteur d’authentification par SMS : un faux sentiment de sécurité ?

Le deuxième facteur d’authentification par SMS constitue une première barrière non négligeable par rapport à une absence totale de protection, mais ses fondations techniques sont aujourd’hui obsolètes. Lorsque les serveurs d’un service cloud ou d’un portail bancaire envoient un code de validation à un utilisateur, ce message textuel transite par une infrastructure de télécommunication complexe avant d’atterrir sur l’appareil mobile. C’est durant ce voyage invisible à travers des réseaux interconnectés que les vulnérabilités de l’infrastructure mobile se révèlent.

Les entreprises et les utilisateurs s’appuient sur cette méthode en pensant que le canal cellulaire est entièrement privé. En réalité, le réseau téléphonique mondial traite les SMS comme de simples flux textuels non chiffrés. Pour un attaquant équipé d’un matériel d’interception radio de la taille d’un dictionnaire ou disposant d’un accès à un commutateur réseau, intercepter ces flux revient à lire une carte postale ouverte. La chaîne de sécurité de cette méthode dépend ainsi entièrement des opérateurs de télécommunication, dont les protocoles de routage n’ont pas été conçus pour résister aux menaces numériques actuelles.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

La faille SS7 : quand le réseau mondial de télécommunication trahit les codes de validation

Comprendre pourquoi le deuxième facteur d’authentification par SMS vacille nécessite de s’intéresser au protocole SS7 (Signaling System No. 7). Ce système historique, développé dans les années soixante-dix, fait office d’aiguillage universel pour les opérateurs téléphoniques. Il leur permet d’échanger les informations de routage indispensables pour acheminer les appels, gérer la facturation en itinérance et transmettre les messages textuels d’un pays à l’autre.

Visuellement, le protocole SS7 fonctionne comme un immense réseau ferroviaire automatisé où toutes les lignes de chemin de fer se croisent sans contrôle d’identité strict aux frontières. Le problème réside dans l’absence de vérification d’identité mutuelle : si un opérateur (ou un attaquant ayant usurpé les accès d’un opérateur légitime) demande à rediriger les messages d’un numéro spécifique vers ses propres terminaux de réception, le réseau valide la requête automatiquement.

Une fois l’accès au réseau SS7 obtenu (parfois loué illégalement sur des places de marché spécialisées), le pirate utilise une console d’administration réseau pour soumettre une demande de mise à jour de localisation pour la cible. Le réseau redirige alors les flux de données. Le code d’authentification à usage unique s’affiche instantanément sur l’écran d’ordinateur de l’attaquant, tandis que le téléphone de la victime légitime ne reçoit aucune notification et reste totalement silencieux.

Le piratage de carte SIM : l’usurpation d’identité à distance

Outre les failles réseau, le deuxième facteur d’authentification par SMS est directement menacé par une technique d’ingénierie sociale : le piratage de carte SIM (souvent désigné sous le terme de « SIM swapping »). Cette méthode ne cible pas une faille logicielle complexe, mais exploite directement la chaîne de validation humaine au sein des services clients des opérateurs de téléphonie mobile.

Le processus d’attaque suit généralement un schéma précis :

  1. L’attaquant collecte au préalable des données personnelles sur sa cible (numéro de téléphone, date de naissance, adresse) grâce à des fuites de données publiques ou des campagnes d’hameçonnage.
  2. Le pirate contacte le support technique de l’opérateur mobile en se faisant passer pour le propriétaire légitime de la ligne. Prétextant la perte de son téléphone ou un dysfonctionnement matériel, il demande le transfert du numéro de téléphone vers une nouvelle carte SIM vierge qu’il s’est procurée.
  3. Sur la console de gestion de l’opérateur, le conseiller clientèle valide le transfert.

À cet instant précis, le téléphone de la victime perd instantanément sa connexion au réseau cellulaire, affichant la mention « Aucun service » ou « Appels d’urgence uniquement ». À l’autre bout de la chaîne, le téléphone de l’attaquant s’active, capte le signal réseau et commence à recevoir l’intégralité des appels et des SMS de validation destinés à sa cible. Le pirate peut alors réinitialiser les mots de passe des comptes financiers ou professionnels de la victime en interceptant les codes de confirmation.

Vers quelles alternatives migrer pour sécuriser les accès ?

Pour remplacer définitivement le deuxième facteur d’authentification par SMS, les organisations disposent aujourd’hui de plusieurs options technologiques bien plus robustes et simples à déployer :

  • Les applications d’authentification (TOTP) : Ces outils (comme Microsoft Authenticator ou Google Authenticator) génèrent des codes temporaires à six chiffres directement sur l’appareil, sans dépendre du réseau cellulaire. Le protocole TOTP (Time-based One-Time Password) utilise un algorithme mathématique synchronisé entre le serveur et le smartphone. Même sans aucune connexion Internet ni réseau mobile, le code s’affiche sur l’écran d’application et change automatiquement toutes les trente secondes.
  • Les clés de sécurité physiques (FIDO2) : Ces petits objets robustes ressemblant à des clés de stockage s’insèrent dans le port de l’appareil ou utilisent la technologie de communication sans fil à courte portée (NFC). Pour valider une connexion, l’utilisateur doit toucher physiquement le capteur de la clé. Cette méthode est virtuellement inviolable à distance car elle repose sur de la cryptographie asymétrique : le serveur vérifie la signature numérique générée par la clé sans qu’aucune donnée secrète ne transite sur le réseau.
  • Les clés d’accès ou clés de passe (Passkeys) : Cette technologie moderne élimine le mot de passe traditionnel et le deuxième facteur en une seule étape sécurisée. L’authentification s’appuie sur le système de déverrouillage biométrique de l’appareil de l’utilisateur (empreinte digitale ou reconnaissance faciale), offrant un niveau de protection maximal combiné à une rapidité d’utilisation optimale.

Faut-il pour autant désactiver toute double authentification si seul le SMS est disponible ?

Le deuxième facteur d’authentification par SMS, malgré toutes ses faiblesses techniques intrinsèques, reste infiniment supérieur à une absence totale de double authentification. Face à des attaques opportunistes de masse, comme la simple devinette de mot de passe par dictionnaire ou le cassage automatique, le SMS constitue toujours une barrière utile qui stoppe la majorité des tentatives automatisées simples.

Néanmoins, pour les comptes critiques – messageries professionnelles, accès aux serveurs d’entreprise, portails financiers ou administratifs –, la transition vers une authentification hors ligne ou physique n’est plus une simple recommandation de confort, mais une nécessité opérationnelle urgente pour devancer les méthodes des cybercriminels.

Pour approfondir le sujet

Microsoft cessera d'envoyer des codes SMS pour les comptes personnels

Microsoft cessera d'envoyer des codes SMS pour les comptes personnels

support.microsoft.com

Microsoft cessera d'envoyer des codes SMS pour les comptes personnels Lire la suite

Comment prévenir et réagir face à une arnaque à l'échange de carte SIM

Comment prévenir et réagir face à une arnaque à l'échange de carte SIM

lifehacker.com

Lorsque un journaliste Tech a été victime d'une attaque par échange de carte SIM, il l'a décrite comme une « histoire d'horreur » qui lui a fait perdre « des décennies de données ». Et il Lire la suite

Explication du piratage SS7 : que pouvez-vous faire ?

Explication du piratage SS7 : que pouvez-vous faire ?

theguardian.com

Une faille de sécurité permet aux pirates de lire les SMS, d'écouter les appels et de suivre les utilisateurs de téléphones portables. Quelles sont les conséquences et comment se protéger contre l'espionnage ? Lire la suite

Fraude à grande échelle par échange de carte SIM | Securelist

Fraude à grande échelle par échange de carte SIM | Securelist

securelist.com

Si quelqu'un vole votre numéro de téléphone, vous rencontrerez de nombreux problèmes, d'autant plus que la plupart de nos systèmes modernes d'authentification à deux facteurs sont basés sur des SMS qui peuvent être interceptés grâce à cette méthode… Lire la suite

Actualités liées

Les banques allemandes vont cesser d'utiliser les SMS pour la transmission du deuxième facteur d'authentification - Help Net Security
[ACTU] 12 juillet 2019

Les banques allemandes vont cesser d'utiliser les SMS pour la transmission du deuxième facteur d'authentification – Help Net Security

helpnetsecurity.com

Les banques allemandes abandonnent progressivement l'authentification client et la vérification des transactions par SMS (SMS-TAN), car cette méthode est jugée trop peu sûre. Lire la suite

Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.

☕ Je participe
Etiquettes
  • authentification forte
  • SMS
Marc Barbezat

Fondateur et éditeur de DCOD - Restons en contact !

A lire également
Illustration conceptuelle sur l'IA agentique et les trois angles morts qui menacent la cybersécurité, représentant un profil humain pensif superposé d'interfaces de données numériques à côté d'un grand chiffre 3 transparent.
Lire l'article

IA agentique : trois angles morts qui menacent la cybersécurité

Lignes de code informatique bleues et lumineuses sur fond noir, illustrant le concept de vibe coding et ses enjeux de sécurité informatique, avec le logo dcod.ch visible dans le coin inférieur droit.
Lire l'article

Le vibe coding face aux enjeux de sécurité informatique

Illustration d'un calendrier affichant la date du 24 juin sur fond flou d'écran de démarrage bleu, symbolisant l'échéance où les clés expirées de Secure Boot menacent la sécurité des systèmes Windows et Linux.
Lire l'article

Secure Boot : des clés expirées menacent Windows et Linux

1 commentaire
  1. Ping : Veille Cyber N241 – 29 juillet 2019 |

Commentaires désactivés.

Des idées de lecture recommandées par DCOD

Page frontale du livre Cybersécurité: Le guide du débutant

Cybersécurité: Le guide du débutant

Si vous voulez un guide étape par étape sur la cybersécurité, plus un cours gratuit complet sur la sécurité en ligne, plus un accès à une formidable communauté de hackers, ce livre est pour vous !

📘 Voir sur Amazon
Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

100 Faits à Savoir sur la Cybersécurité

Vous êtes-vous déjà demandé comment les hackers parviennent à pénétrer des systèmes apparemment sécurisés ? Pourquoi entendons-nous tant parler des botnets et que peuvent-ils vraiment faire ? Et qu'en est-il de ce fameux quantum computing qui menace de bouleverser la cryptographie ?

📘 Voir sur Amazon
Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

Les fondamentaux de la cybersécurité: Comprendre et appliquer les principes essentiels

À l’ère du numérique, la sécurité informatique est un enjeu crucial pour toute organisation.Sécurité des systèmes et des réseaux, du cloud, des applications, sécurité défensive et offensive, piratage psychologique…

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.

DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
  • Marc Barbezat
  • À propos de DCOD / Contact
  • Politique de confidentialité
Veille stratégique Cybersécurité, IA & Tech. Produite par Marc Barbezat.

Saisissez vos mots-clés de recherche et appuyez sur Entrée.

DCOD reste gratuit grâce à vous
Vos cafés aident à faire vivre la veille et à couvrir les frais techniques. Merci !
Offrir un café ☕
☕

Soutenir la veille DCOD

DCOD est un site 100% indépendant, maintenu en accès libre grâce à ses lecteurs.
Si cette veille cyber vous est utile, un coup de pouce mensuel aide à la faire vivre et à couvrir les frais techniques.

☕ Soutenir chaque mois