Les codes envoyés par SMS pour sécuriser les connexions, c’est bientôt terminé sur Gmail. Google l’a confirmé : cette méthode jugée trop vulnérable va disparaître au profit d’un système plus sécurisé.
Recevoir un code par SMS pour se connecter à son compte Gmail, c’est bientôt de l’histoire ancienne. Google l’a confirmé : cette méthode jugée trop vulnérable va disparaître au profit d’un système plus sécurisé. Phishing, détournement de numéro, fraudes aux SMS... Les raisons invoquées pour justifier ce choix ne manquent pas. À la place, Google mise sur une nouvelle méthode basée sur les QR codes. Une transition qui s’inscrit dans un mouvement plus large, visant à rendre l’authentification plus fiable, et surtout moins dépendante des canaux traditionnels que sont le numéro de téléphone et les mots de passe.
Trop de risques, trop d’abus : Google lâche les SMS
C'était attendu, c'est désormais acté. Gmail s’apprête à dire adieu aux SMS comme second facteur d’authentification. Une décision salutaire, confirmée par son porte-parole Ross Richendrfer dans les colonnes de Forbes.
Longtemps considérés comme une solution A2F acceptable, les SMS n’ont plus la cote. Attaques par phishing, détournement de numéros par SIM swapping, failles d’authentification exploitées à grande échelle… Les spécialistes alertent depuis des années sur les risques associés à cette méthode, dont les vulnérabilités sont aujourd’hui largement documentées.
Ces problèmes, Google les a également identifiés. Mais si Gmail s’apprête à renoncer aux SMS, c’est aussi à cause d’un autre élément plutôt inattendu. Dans sa stratégie, Mountain View fait valoir un argument économique, pesant aussi lourd que les enjeux relatifs à la cybersécurité : la lutte contre le traffic pumping.
Peu connu du grand public, ce type de fraude est en réalité de plus en plus répandu dans l’industrie des télécommunications. Dans les grandes lignes, il s’agit d’exploiter les systèmes de communication (SMS, appels) pour générer artificiellement du trafic vers des numéros surtaxés, contrôlés par des fraudeurs.
Les arnaqueurs déclenchent ainsi des milliers de demandes de codes envoyés vers leurs propres numéros et encaissent une commission sur chaque SMS délivré, aux frais des services qui les émettent. Un détournement qui fait flamber la facture pour les entreprises, contraintes de financer des réseaux frauduleux. Évidemment, Google, qui envoie quotidiennement des millions de SMS pour l’authentification et la vérification des comptes, n’y échappe pas.
En bref, entre risques de piratage et coûts inutiles, Google n’avait plus vraiment intérêt à maintenir ce système d’authentification par SMS.
Comment Gmail va sécuriser vos connexions sans SMS
À la place, Google mise sur une solution qui devrait limiter les abus : la validation par QR code. Il suffira de le scanner avec un smartphone pour valider l’accès au compte. Un système qui permet d’éliminer plusieurs risques en supprimant les codes à usage unique, souvent récupérés via du phishing ou des attaques ciblées, mais qui met aussi fin à la dépendance aux réseaux mobiles, et ne repose plus sur la fiabilité des opérateurs mobiles. Plus de réseau ? Nouveau numéro ? Aucun impact.
Cette transition s’inscrit dans une tendance plus large déjà amorcée par Google avec les passkeys, qui visent à remplacer les mots de passe par des solutions biométriques ou cryptographiques plus fiables.
Le déploiement sera progressif, mais cette évolution impose un changement d’habitudes. L’authentification par QR code nécessite un second appareil, ce qui peut compliquer les usages pour celles et ceux qui gèrent tout depuis un même écran. Dans ce cas, il faudra se rabattre vers les alternatives existantes, toujours disponibles, que sont les clés d’accès, les clés de sécurités matérielles, les invites Google, les codes de secours ou les codes de validation générés par une application A2F.
Source : Forbes
07 février 2025 à 16h17
