SMS (Short Message Service)

SMS, l'abréviation de Short Message Service, est un protocole de messagerie texte normalisé dans les années 1980 dans le cadre de la spécification GSM. Il a été conçu à l'origine comme une fonction de canal de signalisation à faible priorité pour livrer les notifications d'opérateur aux abonnés, et n'était pas initialement prévu pour devenir un canal de communication principal entre les utilisateurs.

Une charge SMS unique est limitée à 140 octets, ce qui se traduit par 160 caractères de texte codé en GSM 7 bits ou 70 caractères d'UCS-2 16 bits (utilisé pour les alphabets non-latins et les émojis). Les messages plus longs sont divisés en plusieurs parties et réassemblés par le téléphone récepteur, un mécanisme connu sous le nom de SMS concaténé ou long SMS.

En pratique, le SMS se décline en deux formes pertinentes pour la plupart des utilisateurs aujourd'hui. P2P SMS (personne à personne) est la messagerie texte standard entre deux utilisateurs humains via leurs opérateurs mobiles. A2P SMS (application à personne) est le canal qui livre les codes de vérification, les messages marketing et les notifications automatisées des services aux utilisateurs, et représente la majorité de tout le volume de SMS en 2026.

A2P SMS est le moteur de l'authentification basée sur OTP, y compris la plupart des déploiements 2FA dans le monde. L'expéditeur (un service comme Telegram, Google ou une banque) confie le message à un fournisseur CPaaS, qui l'achemine via des accords d'interconnexion avec les opérateurs de destination en utilisant des protocoles comme SMPP. Le téléphone récepteur reçoit le texte sur le même canal qu'un message P2P ordinaire — l'utilisateur ne peut pas facilement faire la différence.

Le SMS est structurellement peu sécurisé : il n'est pas chiffré sur le câble, vulnérable à l'interception SS7, susceptible aux attaques de permutation de SIM et routé via des systèmes dont les opérateurs ont un accès en lecture légitime. Malgré cela, il reste le canal d'authentification hors bande dominant car il a une portée quasi universelle et ne nécessite pas l'installation d'une application. Son remplacement par RCS, la messagerie basée sur IP et les applications authenticateur s'est prolongé pendant plus d'une décennie et est toujours incomplet.