En matière de cybersécurité, ce qui était considéré comme sûr hier peut devenir une faille de sécurité aujourd’hui. L’authentification par SMS en est le parfait exemple. Longtemps considérée comme une méthode fiable de protection, elle est désormais pointée du doigt par les experts en sécurité informatique. L’affaire Salt Typhoon vient de démontrer de manière spectaculaire pourquoi il est urgent de changer nos habitudes.
La fin d’une époque : pourquoi le SMS n’est plus sûr
Le problème fondamental du SMS réside dans sa nature même : il n’a jamais été conçu pour être sécurisé. Contrairement aux applications de messagerie modernes, les SMS transitent en clair sur les réseaux de télécommunication. C’est comme envoyer une carte postale plutôt qu’une lettre dans une enveloppe fermée : n’importe qui sur le chemin peut lire le contenu.
L’attaque Salt Typhoon a exploité cette vulnérabilité à une échelle sans précédent. Des pirates, vraisemblablement soutenus par le gouvernement chinois, ont réussi à intercepter des milliers de communications, y compris des codes d’authentification envoyés par SMS. Cette fuite massive a forcé les autorités américaines à revoir complètement leur position sur la sécurité des communications mobiles.
Le plus surprenant dans cette affaire est peut-être le revirement du FBI. L’agence, traditionnellement opposée au chiffrement fort, car il complique les enquêtes criminelles, recommande désormais l’utilisation d’applications de messagerie sécurisée comme Signal. Ce changement de position témoigne de l’ampleur de la menace que représentent les interceptions de communications non sécurisées.
La CISA va même plus loin en déconseillant formellement l’utilisation du SMS pour l’authentification multifacteur, particulièrement pour les personnalités à haut risque. Cette position reflète une nouvelle réalité : la sécurité des communications numériques ne peut plus être considérée comme acquise sans un chiffrement de bout en bout.
Voici ce que vous devriez faire
Face à ces risques, les experts préconisent désormais l’utilisation d’alternatives plus sûres. Les applications d’authentification comme Google Authenticator, Microsoft Authenticator ou Authy génèrent des codes directement sur votre appareil, sans passer par le réseau téléphonique. Ces solutions utilisent des algorithmes de chiffrage sophistiqués et sont considérées comme beaucoup plus sécurisées.
Pour aller plus loin
Double authentification (2FA) : pourquoi et comment sécuriser ses comptes Google, Facebook, iCloud, Steam…
Enfin, si vous êtes arrivés jusque-là, il faut opter pour des services de messagerie chiffrés pour les communications sensibles, et activer le chiffrement de bout en bout lorsqu’il est disponible (ce qui est le cas sur WhatsApp, Messenger et ainsi de suite).
Pour aller plus loin
Comment sécuriser votre smartphone, votre tablette ou votre PC ? Le guide ultime !
Téléchargez notre application Android et iOS ! Vous pourrez y lire nos articles, dossiers, et regarder nos dernières vidéos YouTube.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix