OneKitTools logoOneKitTools
security6 min de lecture

"2FA expliqué : pourquoi les codes SMS sont moins sécurisés que tu ne le crois"

L'authentification à deux facteurs est essentielle — mais tous les 2FA ne se valent pas. Découvrez pourquoi les codes SMS peuvent être interceptés, quelles alternatives sont plus solides, et comment vraiment sécuriser vos comptes.

OneKitTools Team14 avril 2026

Deux mots de passe ≠ deux facteurs

"Active le 2FA" — c'est un conseil qu'on entend partout. Mais la plupart des gens activent la version SMS — un code à 6 chiffres envoyé par texto — et se considèrent en sécurité. Plus en sécurité que sans 2FA, oui. Mais le 2FA par SMS a des faiblesses réelles et bien documentées qu'il faut connaître.

L'objectif n'est pas de te faire fuir le SMS 2FA. C'est de t'aider à comprendre ce que tu obtiens vraiment, et quand utiliser quelque chose de plus solide.

Qu'est-ce que l'authentification à deux facteurs ?

Les facteurs d'authentification sont de trois types :

  • Quelque chose que tu sais — mot de passe, PIN
  • Quelque chose que tu as — téléphone, clé matérielle, application d'authentification
  • Quelque chose que tu es — empreinte digitale, Face ID

L'authentification à deux facteurs (2FA) signifie utiliser deux types différents. Mot de passe + code SMS c'est "quelque chose que tu sais" + "quelque chose que tu as." C'est du vrai 2FA — et c'est dramatiquement mieux qu'un simple mot de passe.

Le problème n'est pas le 2FA lui-même. Le problème, c'est que "quelque chose que tu as (un téléphone)" peut être détourné sans voler physiquement ton téléphone.

Pourquoi les SMS 2FA peuvent être interceptés

Le SIM Swapping

L'attaque SMS la plus courante. Voici comment elle fonctionne :

  1. Un attaquant appelle ton opérateur en se faisant passer pour toi
  2. Il prétend avoir perdu son téléphone et demande le transfert du numéro sur une nouvelle SIM
  3. L'opérateur transfère ton numéro sur sa SIM
  4. Tous les SMS envoyés à "ton" numéro vont maintenant chez l'attaquant
  5. Il demande des réinitialisations de mot de passe + codes SMS pour tes comptes

Ça s'est produit pour des personnalités connues. Comptes d'exchange crypto, comptes email, réseaux sociaux — le SIM swapping est un vecteur bien connu car la vérification d'identité chez les opérateurs est appliquée de façon inégale.

Les vulnérabilités du protocole SS7

Le protocole SS7 est le backbone technique vieux de 40 ans qui achemine les appels et SMS dans le monde entier. Il comporte des vulnérabilités connues qui permettent à des attaquants étatiques et des groupes criminels sophistiqués d'intercepter les SMS en transit, sans toucher à ton téléphone ni à ton opérateur.

Pour la plupart des gens, les attaques SS7 sont théoriques. Pour les cibles à haute valeur (dirigeants, journalistes, activistes), c'est une vraie menace.

Le phishing pour codes SMS en temps réel

L'attaque la plus courante contre les utilisateurs ordinaires : une fausse page de connexion capture ton mot de passe ET ton code SMS simultanément, puis les rejoue sur le vrai site avant expiration du code.

Tu entres tes identifiants sur un faux site convaincant → ils se connectent au vrai site → le vrai site t'envoie un SMS → tu entres le SMS sur le faux site → l'attaquant a ta session.

C'est ce qu'on appelle une "attaque de phishing en temps réel" ou "adversary-in-the-middle" (AiTM). Ça fonctionne contre le SMS 2FA même sans que tu aies donné ton téléphone.

Ce qui est plus solide que le SMS

Applications d'authentification (TOTP)

Des apps comme Google Authenticator, Authy, ou n'importe quelle app compatible TOTP génèrent des codes basés sur le temps localement sur ton appareil. Pas de SMS, pas d'opérateur impliqué.

Pourquoi c'est mieux : les codes sont générés sur ton appareil, pas transmis sur un réseau. Un SIM swap n'aide pas — le code est sur ton téléphone d'origine. Le phishing en temps réel fonctionne encore (si tu entres le code sur un faux site), mais les attaques SS7 ne s'appliquent pas.

Utiliser pour : tout service qui le propose. Préfère ça au SMS.

Clés de sécurité physiques (FIDO2/WebAuthn)

Appareils physiques (YubiKey, Google Titan, etc.) qui se branchent en USB ou tapent via NFC. Pour se connecter, tu touches physiquement la clé.

Pourquoi c'est plus solide : preuve cryptographique, aucun code à intercepter, résistant au phishing (la clé vérifie qu'elle parle au vrai site en contrôlant le domaine). Le phishing en temps réel ne fonctionne pas — la clé n'authentifiera pas un faux domaine.

Utiliser pour : tes comptes les plus critiques — email, banque, comptes d'entreprise.

Passkeys

Les passkeys remplacent complètement les mots de passe en utilisant la cryptographie à clé publique stockée sur ton appareil. Supportés par Apple, Google, Microsoft et une liste croissante de services.

Pourquoi c'est plus solide : aucun mot de passe à voler, aucun code à intercepter, résistant au phishing par conception (liaison cryptographique au domaine). La clé privée ne quitte jamais ton appareil.

Utiliser pour : tout service qui les supporte (Apple ID, Compte Google, GitHub, PayPal, 1Password, et plus).

Le classement honnête

Du moins au plus sécurisé :

  1. Sans 2FA — mot de passe seul (à éviter)
  2. SMS 2FA — mieux que rien, vulnérable au SIM swap + phishing AiTM
  3. App d'authentification (TOTP) — immunisé contre le SIM swap, toujours vulnérable au phishing AiTM
  4. Clé physique (FIDO2) — résistant au phishing, nécessite une présence physique
  5. Passkeys — résistant au phishing, sans mot de passe, meilleure UX des options solides

Que faire concrètement

Pour la plupart des gens :

  • Utiliser une app d'authentification (pas le SMS) dès que possible
  • Utiliser le SMS si c'est la seule option — c'est quand même bien mieux que rien
  • Activer le 2FA sur l'email en premier — c'est la clé maître de tous tes autres comptes

Pour les comptes à haute valeur (banque, crypto, accès entreprise) :

Pour tout le monde :

  • Ne jamais réutiliser de mots de passe entre sites
  • En cas de fuite : changer le mot de passe, vérifier si le même mot de passe était utilisé ailleurs, activer le 2FA si ce n'est pas fait

En résumé

Le SMS 2FA c'est mieux que pas de 2FA. Si c'est la seule option, utilise-le. Mais si un service propose une app d'authentification ou une clé physique, prends-les — l'amélioration de sécurité est significative.

La chose la plus importante : avoir le 2FA sur ton compte email. L'email est le mécanisme de récupération de tout le reste — si un attaquant contrôle ton email, il peut réinitialiser tous tes autres mots de passe.

Vérifie si ton email a été dans une fuite — puis active le 2FA dessus aujourd'hui.

Partager

Articles liés

security

Ce qui arrive vraiment à tes données quand un site se fait pirater

6 min de lecture
security

"Sécurité des Mots de Passe : Comment Savoir Si le Vôtre a Été Volé"

3 min de lecture

Outils mentionnés

Password Generator
Email Breach Checker
Hash Generator