Dans la section commentaires de l’un de nos récents articles sur l’authentification à deux facteurs (2FA), nous avons eu une question concernant la meilleure option à choisir entre des codes 2FA envoyés par SMS (message texte) comme deuxième facteur d’authentification, ou générés par le biais d’une application d’authentification dédiée.
Nous avons pensé qu’il s’agissait d’une question intéressante, alors approfondissons un peu le sujet. Dans de nombreux cas, le choix entre SMS et une application d’authentification dépend de ce qui vous convient le mieux. Mais si vous êtes curieux de connaître les avantages et inconvénients de chacune de ces options, lisez la suite de l’article et faites-nous savoir dans la section commentaires quelle option vous préférez et pourquoi.
NB : Tous les services 2FA ne proposent pas les deux options, mais dans le cadre de cet exercice, nous supposerons que vous avez le choix entre les deux.
Les avantages et les inconvénients des codes 2FA envoyés par SMS
Avantages
- Les codes SMS sont pratiques. Vous n’avez pas besoin de télécharger une application et de configurer chaque compte. C’est peut-être la seule option si vous n’avez pas de smartphone.
- L’authentification par SMS peut également servir de signal d’alarme. Si un individu essaye de s’introduire dans votre compte, les messages 2FA envoyés sur votre téléphone vous avertiront qu’il est temps d’enquêter (et de changer votre mot de passe).
Inconvénients
- Un cybercriminel peut pirater vos SMS avec une escroquerie du type SIM Swap. Si un hacker peut convaincre un magasin de téléphonie mobile qu’il est bien vous, il peut obtenir du magasin qu’il émette une carte SIM de remplacement encodée avec votre numéro de téléphone. Votre téléphone s’éteindra, et le sien commencera à recevoir vos appels et messages, y compris bien évidemment les codes 2FA.
- Le NIST a déclaré que l’ère du 2FA par SMS était terminée.
Avantages et inconvénients des codes 2FA via des applications d’authentification
Avantages
- Vous ne serez pas victime d’un piratage de vos codes 2FA par SIM Swap si vous utilisez une application d’authentification. Les codes 2FA dépendent de l’application elle-même et non de votre carte SIM.
- Les applications d’authentification fonctionnent même lorsque vous n’avez pas de réseau mobile.
Inconvénient
- Les applications d’authentification dépendent d’un “secret” partagé, que l’application et le serveur doivent stocker. Cette “semence” est alors combinée avec le facteur temporel pour générer le code 2FA. Si un cybercriminel peut cracker l’application ou le serveur et mettre la main sur votre donnée secrète, il peut aussi cloner vos codes 2FA indéfiniment. Les codes SMS sont simplement des valeurs aléatoires envoyées par le serveur, aucune “semence” ne pourra permettre à un cybercriminel de prédire le code suivant, et ce dans l’ordre.
- Lorsque vous accédez à des services en ligne à partir de votre smartphone, vous lancerez généralement l’application d’authentification sur le même appareil. Cela signifie que les cybercriminels ont un moyen commun aux deux techniques 2FA pour accéder à vos codes d’authentification. Ainsi, un deuxième “téléphone minimaliste” utilisé seulement pour les codes SMS, facilitera la mise à l’écart des codes 2FA.
Alors, que préférez-vous ? Si vous n’utilisez pas déjà le 2FA pour vos comptes en ligne, pouvons-nous vous persuader de commencer dès maintenant ? Faites part de vos commentaires dans la section ci-dessous.
Billet inspiré de SMS or authenticator app – which is better for two-factor authentication?, sur Sophos nakedsecurity.