La validation de la connexion par un code SMS est devenue une pratique courante pour renforcer l’identification des comptes en ligne et limiter le risque d’accès non autorisé.
Pourtant, la qualité de la sécurité dépend fortement du facteur choisi et de la mise en œuvre de la MFA, entre autres protections techniques et organisationnelles.
A retenir :
- Protection renforcée via application d’authentification générant des codes locaux
- Risque de SIM swapping et interception des codes SMS
- Praticité des SMS pour utilisateurs sans smartphone dédié
- Recommandation générale d’utiliser une application d’authentification ou clés matérielles
Après ces éléments clés, comparaison technique entre application d’authentification et code SMS
Mécanismes TOTP et génération locale de codes
Cette partie détaille le modèle TOTP utilisé par les applications d’authentification pour générer des codes temporaires.
Le serveur et l’appareil partagent une clé secrète qui permet de produire un code synchronisé à intervalle régulier et hors ligne.
Selon Ping Identity, les TOTP changent toutes les trente à soixante secondes pour limiter la fenêtre d’exploitation des codes volés.
Aspects techniques principaux:
- Clé secrète partagée entre serveur et appareil
- Codes générés localement sans transmission réseau
- Durée limitée des OTP pour réduire la réutilisation
- Configuration par QR code ou saisie manuelle
Méthode
Principe
Risques majeurs
Facilité
Application TOTP
Génération locale de codes temporaires
Compromission de l’appareil, malware
Élevée après configuration
SMS OTP
Envoi de code via réseau mobile
SIM swapping, interception SMS
Moyenne, accessible
Email OTP
Envoi de code par messagerie
Accès à la boîte mail compromise
Moyenne
Clé matérielle
Authentification via clé physique
Perte ou vol de l’objet
Moins pratique, plus sûre
Vulnérabilités observées et exemples d’exploitation
Les attaques les plus fréquentes ciblent la vérification par SMS via le SIM swapping ou des écoutes sur réseaux publics non chiffrés.
Selon la CNIL, le détournement d’identité mobile reste un vecteur exploité pour contourner une double facteur basée sur SMS.
« J’ai perdu l’accès à mon compte après un SIM swapping, l’opérateur a transféré mon numéro sans vérification suffisante »
Marc R.
Face à ces menaces, il est recommandé d’évaluer des méthodes alternatives, et de préparer le déploiement d’une solution d’authentification plus résistante.
Étant donné ces attaques, bonnes pratiques pour configurer une application d’authentification MFA
Choix d’une application et étapes d’installation
Cette section guide le lecteur sur la sélection et la mise en place d’une application d’authentification pour renforcer la protection des comptes sensibles.
Choisissez une application reconnue ou un gestionnaire de mots de passe intégrant un générateur TOTP pour centraliser identifiants et codes.
Selon Okta, les fournisseurs recommandent la sauvegarde des clés et l’activation d’une méthode de secours pour éviter le verrouillage du compte.
Étapes de configuration rapides:
- Télécharger l’application sur un appareil personnel sécurisé
- Activer la MFA dans les paramètres du compte
- Scanner le QR code ou saisir la clé secrète manuellement
- Tester la synchronisation avant de finaliser
Sauvegardes, récupération et options de secours
Cette partie explique comment préparer des solutions de secours pour restaurer l’accès sans sacrifier la sécurité.
Option de secours
Risque
Facilité
Recommandation
Clé de récupération imprimée
Perte physique
Facile
Stocker en lieu sûr
Gestionnaire de mots de passe
Compromission si master perdu
Très pratique
Activer MFA sur coffre
Clé matérielle secondaire
Perte ou vol
Moyenne
Conserver séparément
Numéro de secours SMS
SIM swapping possible
Accessible
Utiliser en dernier recours
« J’ai adopté une application et mes comptes sont restés sécurisés après une tentative d’hameçonnage »
Alice B.
Une bonne préparation permet de restaurer l’accès sans revenir à un SMS vulnérable, ce qui prépare la mise en œuvre d’une gouvernance plus large.
Pour aller plus loin, intégration, politique d’entreprise et retours d’expérience
Déploiement à l’échelle et contraintes organisationnelles
Cette section aborde l’implantation de la MFA dans une organisation et les arbitrages entre sécurité et usages quotidiens.
Incluez des procédures d’enrôlement, des supports d’aide et des cycles de formation pour limiter l’aliénation des utilisateurs.
Selon Microsoft, combiner une application avec des clés matérielles offre un équilibre pertinent entre sécurité et acceptation par les équipes.
« Mon équipe a réduit les incidents de comptes compromis grâce à la MFA par application »,
Claire D.
La gouvernance doit inclure des règles claires sur la vérification des incidents et la rotation des méthodes d’authentification.
Expériences utilisateurs, acceptation et avis pratiques
Cette partie recueille avis et conseils concrets pour améliorer l’adhésion tout en maintenant une solide sécurité.
Proposez des parcours d’inscription simples, des guides visuels et une assistance réactive pour limiter l’abandon de la MFA.
« L’authentification par SMS reste préférable à l’absence totale de MFA pour beaucoup d’utilisateurs »
Thomas P.
Ces retours montrent qu’une politique pragmatique favorisant l’application d’authentification et des secours robustes facilite l’adoption, et invite à surveiller les incidents.
Source : CNIL, « Délibération n° 2025-019 », CNIL, 20 mars 2025 ; Ping Identity, « L’authentification par SMS », Ping Identity, 2024 ; Okta, « Authentification par SMS (MFA) », Okta, 2024.
