Le fait d’envoyer un SMS avec un code secret pour vérifier l’identité de l’utilisateur n’est pas une technique suffisamment sûre pour le National Institute of Standards and Technology (NIST), qui a annoncé son souhait d’interdire la pratique. Les applications sécurisées et la biométrie devraient remplacer les textos.

En quelques années, le principe de la double-authentification s’est imposé sur les plus gros sites internet, qui proposent à leurs utilisateurs de confirmer leur identification par un code envoyé par SMS, lorsqu’ils saisissent leur mot de passe sur un nouvel appareil, ou qu’ils effectuent un paiement en ligne. La technique évite qu’un pirate qui aurait accès au mot de passe de l’utilisateur ne puisse se logger s’il n’a pas aussi accès au téléphone, ce qui est beaucoup plus rare.

Mais l’envoi d’un SMS de confirmation pourrait bientôt être une pratique proscrite. Aux États-Unis, le très influent National Institute of Standards and Technology (NIST), dont les normes doivent être suivies pour obtenir certaines certifications, a en effet prévenu que l’envoi d’un SMS n’était pas assez sécurisé, et qu’il considérait donc qu’il s’agit d’une technique « obsolète » qui ne sera plus autorisée dans les prochaines éditions de ses « lignes directrices d’authentification numérique ».

Pas assez sûrs

Déjà actuellement, le NIST impose que si l’application vérifie l’identité de l’utilisateur en envoyant un SMS de confirmation, elle doit d’abord s’assurer qu’elle envoie bien le message vers un téléphone mobile d’un réseau cellulaire, et non vers un numéro de téléphone associé à une ligne VoIP. Cela évite qu’en cas de prise de contrôle d’un ordinateur par un pirate, ce dernier ait aussi accès aux SMS qui seraient reçus par un logiciel de VoIP. L’agence gouvernementale américaine se méfie aussi de l’absence de chiffrement fort sur les SMS, qui faciliterait les interceptions.

À l’avenir, le NIST imposera donc que la double-authentification soit faite de façon plus sûre, par exemple en passant par une application qui n’afficherait le code de confirmation qu’après la saisie d’un code PIN, ou après une identification biométrique. Dans tous les cas, elle prévient qu’il faut que la communication du code de confirmation se fasse à travers « un canal protégé authentifié », où la clé n’est pas stockée.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : faire comprendre le numérique et tous ses enjeux au plus grand nombre.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !