Au cours des dernières années, le « deuxième facteur » est devenu un terme marketing. Formellement, il existe, mais dans la pratique il est souvent inefficace.
Si votre compte est encore protégé par des codes SMS ou par des codes envoyés via une application de messagerie, il faut considérer que vous ne disposez pas réellement d’un deuxième facteur.
Examinons les raisons.
Pourquoi le SMS n’est plus considéré comme une protection
Le SMS n’est pas un mécanisme de sécurité. C’est un héritage de l’ère des télécommunications. Il n’a jamais été conçu comme un canal sécurisé.
Problèmes principaux :
1. Le détournement de carte SIM n’est pas exceptionnel
La réémission d’une carte SIM par ingénierie sociale est une opération courante. Une pièce d’identité, une « erreur de l’opérateur » ou un accès interne suffisent souvent.
Résultat : le numéro se retrouve chez l’attaquant, tout comme les codes.
2. SS7 et l’infrastructure des télécommunications
Les réseaux de signalisation ont été conçus il y a plusieurs décennies. L’interception des messages SMS est possible sans accès physique au téléphone.
3. L’opérateur comme point de défaillance unique
Problèmes d’itinérance, blocages ou pannes techniques peuvent vous empêcher d’accéder à vos comptes.
4. Absence de chiffrement
Les messages SMS sont stockés et transmis en clair. Où, combien de temps et par qui ils sont traités, vous ne le contrôlez pas.
Conclusion : le SMS est un facteur de commodité, pas un facteur de sécurité.
Les messageries à la place du SMS — encore pire
Tenter « d’améliorer » le SMS en utilisant des applications de messagerie est un exemple classique de faux progrès.
Pour obtenir un code à six chiffres, on vous demande de :
- installer une application lourde,
- lier un numéro de téléphone,
- transmettre des métadonnées,
- dépendre d’une connexion internet,
- faire confiance à un code source fermé.
Cela augmente la surface d’attaque au lieu de la réduire.
Du point de vue de la sécurité, cela n’a aucun sens.
Du point de vue de la vie privée, c’est même nuisible.
Ce que TOTP change fondamentalement
TOTP n’est ni un produit ni une marque. Il s’agit d’un standard ouvert (RFC 6238).
Idée clé :
👉 le code n’est pas transmis — il est calculé localement.
Conséquences pratiques :
- Aucun canal de transmission → rien à intercepter
- Fonctionnement hors ligne → indépendance vis-à-vis des opérateurs et des services
- Aucun numéro de téléphone → lien réduit avec l’identité
- Modèle de menace prévisible → cryptographie, pas « le cloud »
Le serveur et votre appareil effectuent simplement les mêmes calculs en connaissant :
- un secret partagé ;
- l’heure actuelle.
Ils ne communiquent pas entre eux. C’est là toute la force du mécanisme.
Des points importants dont presque personne ne parle
1. Ce n’est pas le code qui protège, mais le secret
Six chiffres ne sont qu’une représentation.
Si la clé secrète fuit, TOTP cesse d’avoir une valeur réelle.
Par conséquent :
- le code QR correspond à la clé,
- une capture d’écran correspond à une compromission potentielle,
- le stockage dans le cloud correspond à un risque.
Si le secret fuit, réinitialisez immédiatement l’authentification à deux facteurs, sans hésiter.
2. TOTP ne protège pas contre le phishing par proxy
Il s’agit d’une limitation fondamentale de cette catégorie de mécanismes.
Si :
- vous saisissez le code sur un site frauduleux,
- l’attaquant l’utilise immédiatement sur le site légitime,
TOTP ne peut rien faire.
Par conséquent :
- connectez-vous uniquement via des favoris ou un gestionnaire de mots de passe ;
- vérifiez strictement le nom de domaine ;
- aucun « message urgent » ne justifie la saisie d’un code.
3. Les sauvegardes ne sont pas une option, mais une obligation
Perdre son téléphone sans codes de secours signifie perdre l’accès au compte.
La règle est simple :
- les codes de secours doivent être notés,
- conservés hors ligne ou dans un gestionnaire de mots de passe,
- ne pas compter sur « plus tard ».
Que choisir en deux mille vingt-cinq
Choix minimal raisonnable
- Aegis pour Android : logiciel open source, sauvegardes locales chiffrées
- TOTP intégré à iOS ou aux gestionnaires de mots de passe — solution acceptable
À utiliser avec prudence
- Google Authenticator avec synchronisation dans le cloud
(la compromission du compte entraîne la perte de tous les facteurs)
Mieux que TOTP
- WebAuthn, Passkeys et FIDO2
La résistance au phishing est intégrée dès la conception.
TOTP constitue la base. Passkeys représentent l’étape suivante.
Synthèse
- Le SMS est obsolète en tant que facteur de sécurité
- Les messageries relèvent du marketing déguisé en protection
- TOTP représente le niveau minimal acceptable, et non une « option avancée »
- Les principaux risques tiennent à la discipline de l’utilisateur, pas à l’algorithme
- L’avenir appartient à l’authentification résistante au phishing
Si un service en deux mille vingt-cinq ne propose pas TOTP ou WebAuthn, c’est un signal d’alerte, et non une « particularité du produit ».
Post-scriptum.
Si vous expliquez cela à des proches ou à des personnes non techniques, assurez-vous qu’elles :
- notent le secret ou les codes de secours,
- retirent le téléphone du rôle de point de défaillance unique.
Sinon, cela se termine par des échanges avec le support, des démarches administratives et une perte d’accès.
