Deux facteurs – et pourquoi les codes SMS sont le maillon faible
25 juin 2026 · 3 min de lecture · Commentaires
Cet article contient des liens d'affiliation. Si vous achetez par leur intermédiaire, nous pouvons gagner une commission, sans frais supplémentaires pour vous.
L'authentification à deux facteurs est l'une des améliorations de sécurité les plus efficaces que vous puissiez apporter. Mais tous les deux facteurs ne sont pas identiques – et la version la plus courante, celle utilisée par défaut par la plupart des services, présente une vulnérabilité spécifique et bien documentée que la plupart des gens ignorent.
L'authentification à deux facteurs fonctionne en exigeant quelque chose que vous connaissez (votre mot de passe) et quelque chose que vous possédez (généralement un code). Même si quelqu'un vole votre mot de passe, il ne peut pas se connecter sans le deuxième facteur. C'est vraiment bien. La question est de savoir ce que signifie « quelque chose que vous avez ».
Le problème avec les codes SMS
Les codes SMS sont envoyés à votre numéro de téléphone. Votre numéro de téléphone est contrôlé par votre opérateur. Et les opérateurs peuvent être manipulés – parfois par l’ingénierie sociale, parfois par la corruption pure et simple d’employés – pour transférer votre numéro sur une carte SIM contrôlée par l’attaquant. C'est ce qu'on appelle un échange de carte SIM.
Une fois votre numéro transféré, chaque code SMS envoyé à « votre » téléphone est dirigé vers l'appareil de l'attaquant. Votre mot de passe ainsi que tout double facteur SMS sont désormais les leurs. Des cibles de grande valeur – des personnes possédant une crypto-monnaie importante, des dirigeants, des journalistes – sont régulièrement compromises de cette façon.
Quoi utiliser à la place
Une application d'authentification génère des codes temporels sur votre appareil. Ils ne sont pas transmis sur le réseau téléphonique : aucun échange de carte SIM ne peut les intercepter. Des applications comme Google Authenticator ou Authy fonctionnent de cette façon. NordPass comprend également un authentificateur intégré, ce qui signifie que vos codes et mots de passe 2FA résident dans le même coffre-fort sécurisé.
- Switch SMS 2FA to an authenticator app wherever the service allows it
- Prioritise accounts with the most at stake: email, banking, primary social
- NordPass generates and stores your TOTP codes alongside your passwords
- Passkeys — where offered — are better still: no code to phish at all
Le double facteur vaut la peine, même dans sa forme la plus faible. SMS 2FA est bien meilleur que pas de 2FA. Mais si vous comptez l'utiliser, la mise à niveau de SMS vers une application d'authentification prend environ deux minutes par compte – et l'écart en matière de protection est important.
Questions fréquemment posées
What is credential stuffing?+
Le credential stuffing se produit lorsque des attaquants prennent des combinaisons d'e-mails et de mots de passe exposées lors d'une violation et les tentent automatiquement avec d'autres services. Si vous réutilisez les mots de passe, une violation sur un site permet aux attaquants d'accéder à tous les comptes avec les mêmes informations d'identification.
Is it safe to store all your passwords in one place?+
Oui, lorsque vous utilisez un gestionnaire de mots de passe réputé. Le coffre-fort chiffré est bien plus sécurisé que les mots de passe réutilisés ou faibles. Les gestionnaires de mots de passe comme NordPass utilisent une architecture sans connaissance, ce qui signifie que même l'entreprise ne peut pas voir vos mots de passe stockés.
What is two-factor authentication and should I use it?+
L'authentification à deux facteurs (2FA) nécessite une deuxième étape de vérification au-delà de votre mot de passe – généralement un code provenant d'une application. Utilisez une application d'authentification (Google Authenticator, Authy) plutôt que des codes SMS, vulnérables aux attaques par échange de carte SIM.
