Aller au contenu principal

SMS vs TOTP

· 3 minutes de lecture
Julien Jenoudet
Julien Jenoudet
CEO of IgniSign

En termes de sécurité, le TOTP (mot de passe à usage unique basé sur le temps) est généralement considéré comme plus sûr que l'authentification à deux facteurs (2FA) basée sur SMS. Voici une analyse technique des raisons :

Vulnérabilité à l'interception
La 2FA basée sur SMS peut être interceptée par divers moyens tels que le changement de carte SIM, où un attaquant convainc un opérateur mobile de transférer un numéro de téléphone vers une nouvelle carte SIM, détournant ainsi les messages SMS. De plus, les messages SMS peuvent être interceptés via des vulnérabilités SS7 (Signaling System No. 7) dans le réseau de téléphonie mobile. Le TOTP, en revanche, ne repose pas sur les SMS et est généré sur l'appareil de l'utilisateur, le rendant moins susceptible à ces types d'attaques.

Dépendance aux réseaux externes
La 2FA basée sur SMS dépend des réseaux mobiles et peut être affectée par des pannes de réseau ou un manque de couverture mobile. Le TOTP ne nécessite pas de connexion réseau car il utilise un générateur de jetons logiciel, qui fonctionne généralement sur un smartphone ou d'autres appareils.

Sensibilité au temps et unicité
Les jetons TOTP ne sont valides que pour une courte période (généralement 30 secondes), après quoi un nouveau jeton est généré. Cela les rend moins susceptibles aux attaques par rejeu, où un code intercepté pourrait être utilisé par un attaquant. Bien que les codes SMS soient également généralement sensibles au temps, la fenêtre d'opportunité pour l'interception et l'utilisation abusive est potentiellement plus grande, surtout si le SMS est retardé.

Résistance au phishing
Les TOTPs sont plus résistants aux attaques de phishing. Les tentatives de phishing qui trompent les utilisateurs pour qu'ils révèlent leurs codes SMS peuvent être plus efficaces, car les utilisateurs peuvent percevoir les SMS comme intrinsèquement sécurisés. En revanche, les TOTPs générés par une application comme Google Authenticator ou Authy ne sont pas aussi facilement phishés.

Normalisation et contrôle
Le TOTP est basé sur une norme bien définie (RFC 6238) et sa mise en œuvre peut être contrôlée et auditée. Avec les SMS, vous dépendez des protocoles de sécurité des opérateurs mobiles, qui peuvent varier et ne sont généralement pas transparents pour les utilisateurs finaux ou les fournisseurs de services.

Cependant, il est important de noter que bien que le TOTP soit plus sécurisé, il nécessite que les utilisateurs disposent d'un smartphone ou d'un appareil capable de générer des TOTPs, ce qui pourrait ne pas être faisable pour tous les utilisateurs. Dans de tels cas, la 2FA basée sur SMS, malgré ses faiblesses, offre toujours une amélioration significative de la sécurité par rapport à l'authentification de base par nom d'utilisateur/mot de passe.

Pour une entreprise technologique traitant des signatures numériques, recommander ou mettre en œuvre le TOTP plutôt que le SMS pour la 2FA s'alignerait sur une norme de sécurité plus élevée, ce qui est crucial dans le contexte de l'identité numérique et de la vérification des signatures.