7 raisons de préférer une app 2FA plutôt que de recevoir un code par SMS

Par Guillaume Belfiore, Rédacteur en chef adjoint.

Publié le 09 janvier 2025 à 13h31

Depuis des années déjà, on nous le rappelle : le mot de passe n'est pas une solution de sécurité fiable. Alors, peu à peu, nous avons activé la double authentification un peu partout. Mais toutes les solutions ne se valent pas.

7 raisons de préférer une app 2FA plutôt que de recevoir un code par SMS

Devoir saisir un code supplémentaire après avoir entré son mot de passe... voilà une pratique qu'on aimerait bien enterrer. Et pourtant la vulnérabilité des mots de passe aujourd'hui ne semble pas vraiment laisser le choix. Certes, il y a les clés d'accès qui simplifient ce mécanisme de double authentification, notamment via reconnaissance biométrique, mais cette compatiblité est loin d'avoir été généralisée.

Le réception d'un code peut-être effectuée de différentes manières, et bien souvent, on nous propose de dégainer une application dédiée ou de recevoir un SMS. Le premier est de loin la méthode à privilégier et pour plusieurs raisons.

1. Une protection contre le réseau téléphonique

Une application de double authentification génère ces codes temporaires directement en local sur le smartphone, la tablette ou le PC. Contrairement à l'envoi d'un SMS, qui transite par le réseau téléphonique, cela signifie donc qu'il n'y a pas de risque d'interception pendant la transmission. Si une attaque de type Man-in-the-middle vous semble peu probable, elle reste toutefois en croissance. D'ailleurs, c'est la raison pour laquelle les algorithmes des applications 2FA sont complexes et spécifiquement prévus pour résister aux attaques avec un rythme de génération de code rapide.

2. Un accès déconnecté permanent

En voyage, en déplacement, en vacances, il arrive que vous puissiez vous connecter à Internet, mais que le réseau téléphonique soit capricieux. Dans ce cas, difficile de recevoir un SMS. Bien souvent, ce dernier arrive d'ailleurs trop tard et le code reçu est déjà expiré. Alors, on choisit de faire "renvoyer le code"... sans trop savoir...

Une application dédiée 2FA en revanche fonctionne sans connexion, et donc sans aléas.

3. Une protection contre le SIM swapping

L'échange de carte SIM, ou "SIM swapping", est une technique de piratage de plus en plus répandue. Grâce à des techniques de social engineering, des personnes malveillantes peuvent collecter des informations sur une victime, et ainsi convaincre un opérateur de transférer leur numéro de téléphone sur une nouvelle carte SIM. Cela signifie donc que les hackers auront accès aux codes temporaires reçus par SMS. Jean-Jacques Latour, spécialiste de la cybersécurité à Cybermalveillance.gouv.fr prévenait que cette technique pouvait enregistrer une croissance après le récent piratage de Free Mobile.

Puisqu'ils sont générés en local, les codes des applications 2FA, eux, ne sont pas concernés par cette vulnérabilité.

4. Un accès multi-appareil

Si la réception de codes par SMS nécessite forcément un téléphone avec une carte SIM, une application 2FA dédiée peut-être installée sur plusieurs appareils. Nul besoin d'aller chercher constamment son smartphone lorsque l'on tente de s'authentifier depuis un PC ou une tablette. Par ailleurs, il est possible de changer facilement de smartphone pour transférer les comptes.

À l'inverse, pour les comptes les plus sensibles, il est aussi possible d'installer cette application sur un ancien smartphone sans carte SIM qu'on laisse sous clé à la maison.

5. Une gestion centralisée des comptes

Les codes à usage unique spamment nos SMS et se retrouvent aux côtés de véritables messages. À tel point que Google a décidé de faire le tri automatiquement pour les supprimer après leur réception. L'application 2FA permet de son côté de cloisonner cet usage et de centraliser ces codes pour plusieurs services tout en gardant une messagerie dédiée aux amis et à la famille.

6. Des codes plus sécurisés

Bien souvent, lorsque l'on choisit l'option de recevoir un SMS, on peut lire que le code reçu sera valable pendant 10, 15 ou 20 minutes. Cela laisse place à un autre type d'attaque baptisée Replay. Autrement dit, durant ce laps de temps, une personne tierce peut tenter d'utiliser une nouvelle fois le code reçu pour s'identifier elle aussi. Ces derniers ne sont en réalité pas toujours à usage unique.

Pour plus de sécurité, une application dédiée génère des codes TOTP (Time-based One-Time Password) toutes les 30 ou 60 secondes, ce qui limite donc fortement une éventuelle seconde authentification.

7. Une authentification plus rapide

Enfin, on le sait, la réception d'un SMS est assez aléatoire. Parfois ce dernier arrive instantanément, parfois, il faut attendre plusieurs minutes. L'authentification via une application est tout simplement plus rapide puisque les codes sont générés en permanence. Il suffit simplement de l'ouvrir, parfois même de taper sur une notification.

À découvrir

Quelles sont les meilleures applications de double authentification (2FA) ? Comparatif 2025

09 janvier 2025 à 11h06

Comparatifs services

Par Guillaume Belfiore

Rédacteur en chef adjoint

Cybersécurité

Logiciels & services

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

alabifr

C’est bien beau tout ça ,mais encore faut t_il que les services concernés le permettent .pour ma part ,j’utilise Authy,mais force est de constater que peu de sites soient compatibles et privilégient le SMS .j’ai beaucoup de comptes ,et mes 10 doigts suffisent à comptabiliser ceux que je peux utiliser avec Authy

CitronEvanescent

C’est surtout qu’un SMS tout le monde c’est ce que c’est, un 2FA / MFA non et pour Madame Michue qui veut accéder à son compte bancaire ça change tout.

Après il ne faut pas non plus croire que le 2Fa c’est la panacée. Ce n’est qu’une fonction connue appliquée à une 2e clef secrète. A partir du moment ou la clef secrete est connu, il est possible de générer autant de 2FA juste que l’on veut.

jvachez

L’accès multi appareil ce n’est pas toujours le cas.
Les banques par exemple empêchent cela et mettent 3 jours à valider le nouveau téléphone, le SMS n’avait pas ce problème.

Le système est bien quand c’est basé sur un système universel comme ça on peut arriver à trouver quelques applications Windows. Microsoft permet par exemple d’utiliser un TOTP à la place de son application Microsoft Authentificator c’est très pratique de pouvoir faire un copier coller du code directement sous Windows.

jvachez

On peut générer des codes à partir d’une application déjà configurée, on ne peut pas configurer une seconde application car le code d’initialisation est lui aussi temporaire.

serged

Surtout que « la clef secrète » est souvent la clef d’origine suivie d’une lettre…

MattS32

Non, la clé secrète pour l’OTP n’est en général pas basée sur « la clé d’origine » (je suppose que tu parles là du mot de passe ?). C’est généralement une clé générée aléatoirement au moment de l’activation du l’OTP sur un compte.

VX945

Ce serait bien de mettre entre parenthèse le sens du sigle 2FA (2 Factor authentication) lors de la première mention dans l’article, car M et Mme tout le monde, ne savent peut-être pas ce que ça signifie même si l’explication française s’y trouve.

MattS32

Non, la clé secrète n’est pas temporaire. Elle est stocké côté application, elle en a besoin à chaque fois qu’elle génère un code.

On ne peut pas la redemander plus tard au serveur, car lui ne le conserve normalement pas, mais on peut configurer plusieurs applications avec la même clé si on a pris soin de la conserver ou si l’application permet de le visualiser (par exemple, dans Bitwarden on peut afficher la clé).

Certains services permettent aussi d’enregistrer plusieurs applications 2FA avec chacune sa propre clé.

Bilbo

Mauvaise expérience avec l’Authenticator de Microsoft pour me connecter à mon compte avec cette méthode sans mot de passe: l’application tournait en boucle, envoie d’un code puis un autre code sur mon email et ainsi de suite, au bout de plusieurs essais l’application se bloque et il faut attendre 48h …
Par miracle j’ai pu me reconnecter à mon compte Microsoft en revenant à la méthode avec mot de passe.
Une application brouillonne, faite par des ingénieurs pour des ingénieurs, vraiment à fuir (de plus la fonction QR code n’était pas non plus proposée quand j’ai tout désinstallé)

jean-le-petit

Lorsque la clé OTP du boulot (clé physique) a été abandonnée au profit d’une appli sur téléphone, j’en ai profité pour y enregistrer un maximum de sites prenant en charge cette double authentification. Perso je plébiscite cette solution qui mériterait d’être davantage connue.