Un rapport conjoint de Bloomberg et Lighthouse Reports a révélé, le 20 avril, que plus d’un million de codes d’authentification à deux facteurs avaient transité par une entreprise tierce suisse, mettant en lumière les failles béantes du système d’envoi par SMS. Si les codes d’authentification sont censés renforcer la protection des comptes en ligne, leur transmission par SMS représente aujourd’hui un maillon faible que de nombreux experts appellent à abandonner.
Les codes d’authentification par SMS ne protègent plus vos comptes
By
Published on 20 juin 2025 17h30
Les codes d'authentification par SMS, un faux sentiment de sécurité
À première vue, recevoir un code par SMS pour se connecter à un compte semble rassurant. Pourtant, cet usage repose sur des infrastructures télécoms fragiles et malléables. Selon l’enquête publiée par ZDNet le 19 avril 2025, plusieurs géants du numérique, parmi lesquels Google, Meta, Amazon, Signal ou Binance, ont vu leurs messages de vérification transiter via Fink Telecom Services, une société suisse controversée accusée d’avoir coopéré avec des agences de surveillance étatiques. Derrière cette externalisation, un intérêt économique évident : traiter ces envois via des tiers disposant de titres globaux (global titles), ces adresses de routage qui permettent de simuler une présence locale dans divers pays, coûte moins cher.
Mais ce choix de rentabilité fait exploser les risques : interception, usurpation, manipulation des flux. Le SMS, non chiffré par nature, devient alors une cible facile pour les cybercriminels comme pour les agences de renseignement. Le régulateur britannique Ofcom a d’ailleurs pris des mesures fermes en avril 2025, interdisant purement et simplement la location de ces titres globaux par les opérateurs du pays, pointant « la menace immédiate pour les utilisateurs de téléphones mobiles », comme le rapporte le site ZDNet.
Pourquoi les codes d’authentification par SMS sont vulnérables
Les codes d’authentification transmis par SMS souffrent de plusieurs failles systémiques. D’abord, leur contenu n’est pas chiffré : toute interception entre l’émetteur et le destinataire permet de lire le code en clair. Ensuite, le protocole utilisé (SS7 pour Signaling System 7) n’a pas été conçu pour la sécurité, mais pour l’interopérabilité des réseaux téléphoniques dans les années 1970. Il est donc facilement exploitable, notamment via des attaques dites de « SIM swap », où un pirate fait transférer un numéro de téléphone vers une autre carte SIM.
Ajoutons à cela l’absence de contrôle sur les prestataires intermédiaires. Comme l’indique Andreas Fink, PDG de Fink Telecom, dans des propos partagés par le site ZDNet : « notre société fournit des infrastructures et des services techniques […] nous n’interférons pas avec le trafic transmis par nos clients ». Ce type de déresponsabilisation crée un vide éthique et juridique dans lequel s’engouffrent des acteurs aux intentions parfois troubles.
Alternatives : ce qu’il faut utiliser à la place des SMS
Des alternatives existent. Elles sont plus sécurisées, mieux contrôlées et, surtout, déconnectées du réseau téléphonique traditionnel. Les experts recommandent aujourd’hui deux méthodes prioritaires pour remplacer les codes d’authentification par SMS. D’abord, les applications d’authentification comme Google Authenticator ou Microsoft Authenticator. Ces outils génèrent des codes temporaires directement sur le smartphone de l’utilisateur, sans passer par internet ou les réseaux GSM. Les codes sont valables 30 secondes et ne sont pas transférés sur des canaux vulnérables.
Ensuite, les clés physiques de sécurité comme YubiKey ou Titan Security Key. Ces dispositifs se branchent à un ordinateur ou se connectent via NFC à un smartphone. Ils offrent une protection quasi impossible à déjouer, car ils lient le compte à un objet matériel unique. La transition n’est cependant pas encore généralisée. Nombre de services continuent de proposer le SMS par défaut, souvent pour des raisons d’accessibilité ou de coût. Mais Google a affirmé à Bloomberg avoir commencé à abandonner cette méthode, tandis que Signal et Meta ont alerté leurs partenaires sur les risques liés à Fink Telecom.