Vérification par SMS ou applications d'authentification : laquelle est plus sécurisée ?

Deux facteurs, deux modèles de menace très différents

Quand un service vous demande un deuxième facteur, il vous demande de prouver deux choses : que vous connaissez le mot de passe, et que vous possédez quelque chose d'autre. Le « quelque chose d'autre » diffère entre le SMS et une application d'authentification, et ces différences n'importent que si l'on regarde des scénarios d'attaque spécifiques.

Le SMS demande au fournisseur de messagerie du service d'envoyer un code à usage unique à un numéro de téléphone. La possession est établie en recevant le code sur l'appareil qui contrôle ce numéro — ce qui, de façon critique, est celui qui contrôle la carte SIM ou le routage du numéro virtuel, pas nécessairement vous.

Les applications d'authentification comme Google Authenticator, Authy, Aegis ou 2FAS génèrent des codes localement sur un appareil en utilisant un secret partagé échangé lors de l'inscription. La possession est établie en détenant l'appareil qui possède le secret. Le code ne voyage jamais sur le réseau pour vous atteindre — il est calculé dans votre poche.

Cette seule différence — les codes arrivant du réseau par rapport aux codes calculés localement — est la source de presque tous les écarts de sécurité entre les deux méthodes. Les menaces contre lesquelles elles protègent, les menaces contre lesquelles elles ne protègent pas, et les chemins de récupération en découlent tous.

Comment les codes à usage unique par SMS sont attaqués

La surface d'attaque du SMS est inhabituellemanr large car le SMS lui-même touche plusieurs systèmes avant de vous atteindre.

L'échange de SIM est l'attaque la plus publicisée et reste efficace en 2026. Un attaquant manipule socialement un représentant de l'opérateur — ou en soudoie un — pour faire porter votre numéro vers une SIM qu'il contrôle. Une fois que la SIM est la leur, chaque SMS qui vous aurait été destiné, y compris vos codes de réinitialisation de mot de passe, tombe entre leurs mains. La couverture médiatique des vols par échange de SIM très médiatisés n'a pas ralenti ; la technique est assez rentable pour que des réseaux semi-organisés continuent.

L'interception SS7 exploite les faiblesses du protocole de signalisation inter-opérateur qui a relié les réseaux téléphoniques mondiaux depuis les années 1980. Avec accès à une passerelle SS7 — vendue discrètement sur des échanges du marché gris — un attaquant peut rediriger le routage SMS sans toucher à votre SIM. Cela nécessite plus de compétences que l'échange de SIM et c'est plus rare en dehors des attaques ciblées, mais cela a été démontré à plusieurs reprises contre des banques.

Les initiés de l'opérateur et le phishing du personnel d'assistance sont une classe connexe. Les outils de support client de l'opérateur sont, du point de vue de l'opérateur, un logiciel CRM ordinaire. Un attaquant motivé qui fait du phishing sur la session d'un agent peut émettre des ports, modifier le routage et lire les journaux SMS.

Le smishing est l'attaque la plus simple : un attaquant vous envoie un faux SMS qui ressemble à une demande de vérification légitime, espérant que vous saisirez un code sur une page de phishing. C'est la seule attaque ici que les applications d'authentification ne peuvent aussi échouer, puisque les codes d'authentification peuvent aussi être hameçonnés si l'utilisateur est trompé.

Le fil conducteur : le SMS dépend de plusieurs systèmes que vous ne contrôlez pas, et l'un quelconque d'entre eux étant compromis suffit. Les codes d'authentification dépendent uniquement d'un appareil que vous tenez physiquement.

Où les applications d'authentification échouent

Les applications d'authentification ne sont pas invulnérables. Elles ont leurs propres modes de défaillance.

Le phishing fonctionne toujours. Une page de connexion contrefaite bien conçue peut vous demander votre mot de passe et votre code TOTP en temps réel, et un script derrière la page soumet les deux au service réel avant l'expiration de la fenêtre de 30 secondes. C'est l'attaque dominante sur les comptes protégés par authenticateur en 2026 et la raison pour laquelle WebAuthn / les passkeys remplacent lentement TOTP.

La perte d'appareil est fatale sans sauvegarde. Si vous configurez Google Authenticator sur un seul téléphone, perdez le téléphone et ne sauvegardez jamais les codes de récupération, vous êtes verrouillé hors de chaque compte. La récupération dépend de l'équipe d'assistance de chaque service, qui prend souvent des jours et nécessite une preuve d'identité.

Les authentificateurs synchronisés dans le cloud introduisent une nouvelle surface d'attaque. Authy a eu une brèche célèbre en 2024 qui a divulgué les numéros de téléphone liés aux comptes. Les applications d'authentification qui se synchronisent avec iCloud ou Google Drive exposent vos seeds à quiconque peut compromettre ce compte. Le compromis est réel : perdez l'appareil ou perdez le cloud, choisissez ce qui vous pose le moins de problèmes.

Les logiciels malveillants sur l'appareil. Un téléphone compromis peut lire les codes TOTP à partir d'une capture d'écran ou d'un enregistrement d'écran. C'est une attaque spécialisée et rare contre les utilisateurs ordinaires, mais pour les cibles de haute valeur c'est documenté.

[Réutilisation OTP et décalage horaire. Si l'horloge d'un appareil dérive, les codes ne se valident pas. Si le même secret est inscrit sur deux appareils et que l'un est volé, les deux produisent des codes valides jusqu'à ce que le secret soit révoqué.

Comparaison côte à côte

Lisez ce tableau correctement : ce n'est pas « l'authentificateur gagne tous les rangées ». Le SMS gagne sur l'accessibilité, la récupération de compte et la configuration zéro. Pour une connexion casual à un forum, le SMS c'est bien. Pour votre banque, votre email ou votre exchange de crypto, la rangée qui compte est « résistant à l'échange de SIM », et là le SMS perd gravement.

Quand l'authentification 2FA par SMS est le bon choix

Il y a des cas réels où l'authentification 2FA par SMS est la meilleure option :

• L'utilisateur n'a pas de smartphone. Les personnes âgées, certains lieux de travail, quiconque utilisant un téléphone basique. Le SMS est le seul deuxième facteur qu'ils peuvent utiliser.
• La récupération de compte est dominante. Pour les comptes de faible valeur, le coût d'être verrouillé (impossible de récupérer une connexion à un site de recettes) dépasse le coût d'une attaque (quelqu'un vole vos recettes sauvegardées).
• Le modèle de menace est opportuniste, non ciblé. Les attaquants aléatoires ne font pas d'échange de SIM sur des gens aléatoires ; ils vont pour les cibles de haute valeur. Si vous n'êtes pas une cible de haute valeur, le SMS dissuade adéquatement les attaques opportunistes.
• Vous utilisez un numéro virtuel. Un numéro de téléphone virtuel utilisé pour un compte spécifique, jamais lié à votre véritable identité, est significativement plus difficile à échanger de SIM car l'attaquant doit d'abord identifier quel fournisseur l'héberge. Cela n'élimine pas le risque SS7, mais cela augmente la barre sur l'attaque la plus courante de façon significative. De nombreux utilisateurs inscrivent des comptes via le flux d'activation SMS précisément pour que la ligne de vérification soit découplée de leur numéro principal.

Le modèle « numéro virtuel pour les comptes à bas enjeux » devient de plus en plus courant : utilisez l'authentification 2FA par SMS sur une base par compte avec des numéros jetables, et réservez TOTP ou les clés matérielles pour les comptes qui détiennent de l'argent ou de la correspondance.

Quand les applications d'authentification sont non négociables

Si l'une des conditions suivantes décrit votre compte, une application d'authentification (ou mieux, une clé matérielle) est la bonne base de référence :

• Le compte détient de l'argent — banque, courtage, exchange de crypto, processeur de paiement
• Le compte détient une correspondance à long terme — email, en particulier l'email qui soutient d'autres comptes
• Le compte est utilisé pour le travail — SSO d'entreprise, contrôle de source, infrastructure cloud
• Le compte contient des données réglementées — santé, services gouvernementaux
• Le compte vous exposerait personnellement s'il était violé — médias sociaux principaux, applications de rencontre, ou n'importe quoi lié à votre véritable identité

Pour ceux-ci, le risque d'échange de SIM domine tout le reste. Associez l'authentificateur avec WebAuthn / une clé matérielle où supporté. Pour les exchanges de crypto spécifiquement, le calcul est différent : vous avez généralement besoin des deux, car les exchanges exigent le SMS comme secours même après la configuration de TOTP.

Les configurations hybrides qui fonctionnent réellement

La configuration pratique la plus forte pour la plupart des utilisateurs est en couches :

1. TOTP via un authentificateur sauvegardé comme deuxième facteur principal. Aegis avec sauvegardes locales chiffrées, 2FAS avec iCloud, ou Authy si vous acceptez le modèle de confiance du cloud.
2. Les codes de récupération imprimés sur papier stockés hors ligne. La plupart des services vous donnent 8 à 16 codes à la configuration TOTP. Traitez-les comme de l'argent comptant.
3. Un numéro SMS virtuel sur le compte, isolé de votre ligne principale, seulement pour les services qui l'exigent comme secours. Le numéro n'a pas besoin d'être votre numéro « réel » — il doit juste être accessible. Utilisez un numéro de location à long terme pour la stabilité ou un DID dédié pour les comptes auxquels vous vous connectez souvent.
4. Une clé matérielle (YubiKey, Feitian) par-dessus pour les comptes qui la supportent. Résistant au phishing d'une manière qu'aucune autre option listée ici ne l'est.

Cette configuration coûte peut-être vingt dollars par an (numéro de location plus clé matérielle en option) et vous protège contre chaque attaque réaliste sauf la compromission complète de l'appareil.

Par quoi commencer si vous débutez aujourd'hui

Si vous lisez ceci et que tous vos comptes sont SMS uniquement, faites ceci dans l'ordre :

1. Email en premier. C'est le compte de récupération pour tout le reste. Passez-le à TOTP cette semaine.
2. Les comptes financiers en deuxième. Banque, courtage, processeurs de paiement. Certaines banques résistent toujours à TOTP — poussez-les, ou choisissez une banque qui l'offre.
3. N'importe quoi lié à votre véritable identité. Médias sociaux principaux, portails gouvernementaux, santé.
4. Les comptes à valeur long terme. Stockage cloud, dépôts de code, n'importe quoi sur lequel vous perdriez du travail.
5. Tout le reste. Le SMS va bien pour la longue traîne. Si vous avez des centaines de comptes, lancer des numéros virtuels c'est plus rapide que d'inscrire chacun dans TOTP.

Le but de tout cela n'est pas que le SMS soit dangereux et que les applications d'authentification soient sûres. C'est qu'elles échouent contre des menaces différentes, et le bon choix dépend de ce que vous protégez. Pour une perspective externe sur les faiblesses SS7 sous-jacentes, le résumé Wikipedia des attaques SS7 est un bon point de départ.

Choisissez le deuxième facteur qui correspond à la menace. Stratifiez-les où cela compte. Et si vous utilisez du SMS du tout, au moins faites-le sur un numéro qui n'est pas aussi votre ligne principale — ce seul changement ferme le vecteur d'attaque le plus facile à zéro coût continu.