/ Sécurité informatique / Pourquoi le SMS n’est plus une double authentification sécurisée face au SIM Swapping ?
Représentation visuelle de la vulnérabilité de l'authentification par SMS face aux attaques de sécurité informatique
Publié le 15 mars 2024

L’authentification par SMS est techniquement obsolète et la multiplication des notifications push (« MFA Fatigue ») crée une nouvelle faille de sécurité majeure, exploitée activement.

  • Le SIM Swapping permet à un attaquant de prendre le contrôle du numéro de téléphone d’un utilisateur, rendant la validation par SMS totalement inefficace.
  • Les clés de sécurité physiques (FIDO2) offrent une résistance native au phishing et aux attaques AiTM, pour un coût de support IT inférieur à long terme.

Recommandation : Adopter une stratégie d’authentification différenciée (clés FIDO2 pour les comptes à risque, applications pour les autres) et définir des processus clairs de récupération d’accès et d’offboarding pour combler les failles organisationnelles.

En tant que directeur de la sécurité des systèmes d’information, vous avez probablement mené une campagne interne pour généraliser l’authentification multifacteur (MFA). Le mot d’ordre était clair : le mot de passe seul ne suffit plus. Pourtant, alors que les accès semblent renforcés, un constat inquiétant émerge. La méthode la plus répandue, la validation par SMS, est devenue une porte d’entrée pour des attaques sophistiquées comme le SIM Swapping. Et sa prétendue remplaçante, la notification push, génère un nouveau risque : la « MFA Fatigue ».

Le problème n’est plus simplement technologique. Les solutions standard créent une friction d’authentification si forte qu’elles poussent les utilisateurs à des comportements dangereux. La discussion ne peut plus se limiter à « activer la MFA ». La véritable question est de savoir comment déployer une authentification réellement forte, qui résiste aux attaques modernes tout en étant adoptée par tous, y compris les collaborateurs les plus réfractaires et les dirigeants les plus sollicités.

Mais si la clé n’était pas de choisir une seule technologie, mais de construire un écosystème de sécurité résilient ? Un système qui combine des outils adaptés à chaque niveau de risque, et qui s’appuie sur des processus organisationnels solides pour gérer les exceptions, les départs et les incidents. Cet article vous propose un argumentaire stratégique pour dépasser les failles du SMS et de la MFA traditionnelle, en se concentrant sur les solutions pragmatiques qui répondent aux objections de terrain : le coût, le déploiement et le facteur humain.

Cet article propose un parcours en huit étapes pour construire un argumentaire solide et passer d’une sécurité réactive à une stratégie d’authentification proactive. Le sommaire ci-dessous vous guidera à travers les points clés de cette réflexion.

Sommaire : Dépasser les failles de l’authentification par SMS et notifications

Pourquoi harceler l’utilisateur de notifications push finit par le faire valider l’intrusion ?

La « MFA Fatigue » est un phénomène psychologique où un utilisateur, submergé par des demandes d’authentification légitimes ou malveillantes, finit par approuver une connexion par lassitude, par erreur ou en pensant se débarrasser d’une notification persistante. Cette technique d’ingénierie sociale est redoutablement efficace car elle ne cherche pas à contourner la technologie MFA, mais à exploiter la faille humaine. Le principe est simple, comme le souligne le Glossaire Cyber dans son analyse de l’authentification multifacteur : « l’attaquant, qui dispose déjà du mot de passe, envoie massivement des demandes d’approbation push jusqu’à ce que la cible clique par lassitude ou erreur ».

Cette vulnérabilité n’est pas théorique. Loin de là. Une analyse récente montre que les attaques par « MFA Fatigue » montrent une augmentation globale de +175%, démontrant son adoption rapide par les cybercriminels. La simplicité apparente du « cliquer pour approuver » se transforme en un vecteur de risque majeur lorsque l’utilisateur perd le contexte et la vigilance.

Étude de cas : L’attaque Uber par fatigue MFA en septembre 2022

Un des exemples les plus médiatisés de cette technique est l’attaque subie par Uber en septembre 2022. Après avoir obtenu le mot de passe d’un employé via une attaque de phishing, les attaquants ont bombardé cet employé de notifications push pendant plus d’une heure. L’employé, pensant à un bug, a fini par approuver une des demandes, donnant aux attaquants un accès initial aux systèmes internes de l’entreprise. Cet incident a mis en lumière la faiblesse critique des systèmes MFA basés uniquement sur l’approbation push sans contexte supplémentaire.

Pour un DSI, cette réalité impose de reconsidérer le déploiement de la MFA. Une solution qui génère une friction d’authentification excessive devient contre-productive. Elle éduque malgré elle l’utilisateur à ignorer les signaux de sécurité et à valider mécaniquement, anéantissant ainsi le bénéfice même de la double authentification.

Comment imposer la MFA sans bloquer les utilisateurs réfractaires à l’usage du perso ?

L’un des plus grands freins au déploiement d’une MFA robuste via application (comme Google Authenticator ou Microsoft Authenticator) est la politique BYOD (Bring Your Own Device). De nombreux salariés refusent, à juste titre, d’installer des applications professionnelles sur leur téléphone personnel, invoquant des raisons de vie privée, de consommation de batterie ou simplement le refus de mélanger sphères privée et professionnelle. Forcer cette adoption est souvent une source de conflit et peut mener à des contournements dangereux.

La solution ne réside pas dans l’abandon de la MFA, mais dans la proposition d’alternatives qui respectent la séparation vie pro/vie perso. Fournir des dispositifs physiques dédiés est la réponse la plus directe et la plus sécurisée. Ces solutions déplacent la charge de sécurité de l’appareil personnel de l’employé vers un outil fourni et maîtrisé par l’entreprise.

L’une des options les plus modernes et efficaces est la clé de sécurité physique. Pour bien visualiser cette alternative, voici à quoi ressemble une solution matérielle aujourd’hui.

Comme le montre cette image, une clé de sécurité FIDO2 est un dispositif compact et simple d’usage qui se connecte en USB ou NFC. Elle permet une authentification forte sans nécessiter de smartphone. C’est une solution concrète pour répondre aux préoccupations légitimes des employés tout en augmentant drastiquement le niveau de sécurité.

Au-delà des clés FIDO2, plusieurs options permettent de construire une politique MFA flexible et acceptable par tous :

  • Authentification biométrique des postes de travail : Utiliser Windows Hello (reconnaissance faciale, empreinte digitale) ou Touch ID sur les Mac fournis par l’entreprise.
  • Cartes à puce : Une solution éprouvée pour les environnements réglementés ou nécessitant une authentification sur des postes partagés.
  • Allocation de sécurité (« Security Stipend ») : Proposer une allocation financière aux employés pour l’achat d’un appareil dédié (un smartphone basique ou une clé de sécurité) à des fins professionnelles.

Clé FIDO2 ou Appli Authenticator : quel équilibre coût/sécurité pour 50 employés ?

Une fois le principe de la MFA forte accepté, la question du « comment » devient centrale. Activer la MFA est une première étape qui, selon Microsoft, bloque 99,9% des attaques par compromission de compte. Cependant, toutes les méthodes MFA ne se valent pas face aux menaces modernes comme le phishing avancé (Attacker-in-the-Middle ou AiTM). La décision entre une solution logicielle (application d’authentification) et une solution matérielle (clé FIDO2) est un arbitrage stratégique entre coût, sécurité et expérience utilisateur.

Pour un DSI, il est crucial de présenter cet arbitrage de manière claire à la direction, en allant au-delà du simple coût d’acquisition. Une application peut sembler gratuite, mais ses coûts cachés en termes de support IT et de risques résiduels peuvent être significatifs. Le tableau suivant offre une comparaison directe pour une PME de 50 employés, en se basant sur une analyse comparative des solutions d’authentification.

Comparaison Clé FIDO2 vs Application Authenticator pour 50 employés
Critère Application Authenticator Clé FIDO2
Coût d’acquisition Gratuit ~2500€ pour 50 clés (50€/clé)
Niveau de sécurité Moyen (vulnérable au phishing AiTM) Très élevé (résistant au phishing)
Dépendance téléphone personnel Oui (problème BYOD) Non
Coût de support IT (annuel) Élevé (changements téléphone, réinstallations) Faible (robuste et simple)
Risque de perte d’accès Fort (perte/changement téléphone) Faible (clé de secours possible)
Usage recommandé Personnel standard à faible risque Comptes à privilèges (IT, C-level, Finance)

Ce tableau met en évidence un point fondamental : la clé FIDO2, bien que représentant un investissement initial, offre un niveau de sécurité bien supérieur, notamment grâce à sa résistance native au phishing. Contrairement à un code à usage unique (TOTP) qui peut être intercepté et relayé par un attaquant, la cryptographie de la clé FIDO2 lie l’authentification à l’origine du service. Si l’utilisateur est sur un site de phishing, l’authentification échoue, point final. De plus, elle élimine la dépendance au téléphone personnel et réduit drastiquement les tickets de support liés à la perte ou au changement de smartphone.

La stratégie la plus pragmatique n’est pas forcément de choisir l’un ou l’autre, mais d’adopter une approche hybride : équiper les comptes à hauts privilèges (administrateurs, direction, service financier) avec des clés FIDO2 et proposer les applications d’authentification pour le reste des collaborateurs, tout en bannissant définitivement le SMS.

Le risque de désactiver la MFA pour les VIP qui trouvent ça « trop compliqué »

L’un des défis les plus délicats dans un projet de sécurité est la gestion des exceptions, en particulier pour les membres de la direction (C-level). Souvent très sollicités et moins patients face aux contraintes techniques, ils peuvent demander des exemptions de MFA, arguant que c’est « trop compliqué » ou que cela ralentit leur travail. Céder à cette demande est une erreur stratégique majeure. Comme le soulignent des experts en cybersécurité dans une analyse des vulnérabilités MFA :

Les comptes ne sont pas seulement des cibles de grande valeur, mais aussi des vecteurs d’attaques sophistiquées. La désactivation de la MFA sur un compte VIP est une ‘dette de sécurité’ pour toute l’entreprise.

– Experts en cybersécurité, Analyse des vulnérabilités MFA

Cette notion de dette de sécurité est cruciale. Une exception accordée aujourd’hui pour des raisons de confort se paiera demain par une brèche de sécurité aux conséquences potentiellement désastreuses. Les comptes des dirigeants sont les plus ciblés par les attaques de spear-phishing et de SIM swapping, car leur compromission donne accès à des informations stratégiques, financières et confidentielles.

La solution n’est pas l’exemption, mais l’accompagnement. Plutôt que de baisser le niveau de sécurité, il faut augmenter le niveau de service. Mettre en place une sorte de « conciergerie de la sécurité » pour les VIP peut transformer une contrainte en une expérience positive et valorisante.

Ce service personnalisé peut inclure l’intervention d’un technicien pour configurer tous les appareils, le choix des solutions les plus fluides (comme une clé FIDO2 ou une YubiKey qui demande un simple contact), et une assistance prioritaire en cas de problème. L’objectif est de rendre la sécurité totalement transparente pour l’utilisateur. En investissant dans cet accompagnement, non seulement vous sécurisez vos actifs les plus critiques, mais vous obtenez également des sponsors de haut niveau pour votre politique de sécurité.

Quand le téléphone est perdu : prévoir la procédure de récupération d’accès

La sécurité d’un système se mesure aussi à sa capacité à gérer les incidents. Le scénario le plus courant avec la MFA est la perte, le vol ou le changement du second facteur, le plus souvent le smartphone. Sans une procédure de récupération d’accès claire, sécurisée et éprouvée, cet incident peut paralyser un collaborateur pendant des heures, voire des jours, et ouvrir une brèche si la procédure de secours est trop laxiste (par exemple, une simple réinitialisation sur la base d’un appel téléphonique non vérifié).

Définir cette procédure en amont est un pilier de la résilience des accès. Elle doit trouver le juste équilibre entre la rapidité de restauration pour l’utilisateur et la robustesse de la vérification d’identité pour ne pas créer une nouvelle vulnérabilité. Attendre qu’un incident se produise pour improviser une solution est la pire des approches.

La procédure doit être formelle, documentée et connue des équipes IT et des utilisateurs. Elle s’articule autour de la prévention, de la vérification forte et de la remédiation rapide. Le plan d’action suivant détaille les étapes concrètes à mettre en œuvre pour construire une procédure de récupération à la fois efficace et sécurisée.

Plan d’action : votre procédure de récupération d’accès sécurisée

  1. Prévention par l’enregistrement d’une méthode de secours : Lors de l’onboarding, exiger l’enregistrement d’une méthode MFA alternative, comme une clé FIDO2 physique stockée au bureau ou des codes de récupération à usage unique imprimés et conservés en lieu sûr.
  2. Vérification d’identité forte « out-of-band » : En cas de perte, déclencher un processus de vérification qui ne repose pas sur les canaux habituels. Un appel vidéo avec le manager N+1 et un membre de l’équipe sécurité pour une confirmation visuelle est un excellent moyen.
  3. Révocation immédiate de toutes les sessions actives : Dès que la perte est signalée et l’identité confirmée, utiliser la console d’administration du fournisseur d’identité (IdP) pour révoquer toutes les sessions ouvertes sur tous les appareils.
  4. Audit des journaux d’accès récents : Avant de restaurer l’accès, analyser les logs de connexion du compte pour les heures ou jours précédant la déclaration de perte afin de détecter toute activité suspecte qui aurait pu avoir lieu.
  5. Désactivation de l’ancien facteur et provisionnement sécurisé : Révoquer définitivement l’ancien appareil (téléphone ou clé perdue) des facteurs d’authentification autorisés et accompagner l’utilisateur dans la configuration du nouveau, avec une traçabilité complète de l’opération.

Cette approche structurée transforme un événement stressant et potentiellement risqué en un processus maîtrisé qui renforce la confiance des utilisateurs dans la politique de sécurité de l’entreprise.

Le piège du Wifi public qui a permis le vol de 10 000 mots de passe

La chaîne d’une attaque commence souvent bien avant l’exploitation d’une faille MFA. Le premier maillon est presque toujours le vol du mot de passe principal. Les réseaux Wifi publics (aéroports, hôtels, cafés) représentent un terrain de chasse privilégié pour les attaquants. La confiance que les utilisateurs accordent à ces réseaux « gratuits » est une vulnérabilité majeure. Une des techniques les plus courantes est l’attaque de l’ « Evil Twin » (jumeau maléfique).

Anatomie d’une attaque « Evil Twin » sur Wifi public

Comme détaillé dans des analyses sur ce type d’attaque, le processus est simple et efficace. Un cybercriminel met en place un point d’accès Wifi avec un nom (SSID) identique ou très similaire à celui d’un réseau légitime (ex: « WIFI_AEROPORT » vs « WIFI-AEROPORT »). Lorsque l’appareil d’un utilisateur se connecte automatiquement à ce faux réseau plus puissant, tout son trafic passe par l’équipement de l’attaquant. Ce dernier peut alors rediriger l’utilisateur vers une fausse page de portail captif qui imite une page de connexion légitime pour voler ses identifiants.

Une fois le mot de passe principal en sa possession, l’attaquant a franchi la première porte. S’il connaît également le numéro de téléphone de sa victime (souvent trouvable en ligne ou via d’autres fuites de données), il peut alors enclencher l’étape suivante : une attaque par SIM swapping pour intercepter le code MFA envoyé par SMS. L’attaque sur le Wifi public n’est donc pas une fin en soi, mais un moyen d’obtenir les éléments nécessaires pour contourner une authentification à deux facteurs jugée « faible ».

Comme le résume bien Fichorga dans son guide sur la protection en ligne, le risque est omniprésent : « Les attaquants peuvent créer de fausses pages de connexion pour les services populaires tels que les réseaux sociaux, les services bancaires ou les fournisseurs de messagerie, dans le but de voler vos identifiants de connexion ». L’éducation des utilisateurs sur l’utilisation systématique d’un VPN sur les réseaux publics et la méfiance envers les portails de connexion sont des mesures d’hygiène numérique essentielles pour couper court à cette première étape de l’attaque.

Comment isoler une machine infectée du réseau en un clic pour stopper la propagation ?

Même avec les meilleures défenses, le principe du « zero trust » nous enseigne qu’il faut toujours se préparer à une brèche. Lorsqu’une compromission est suspectée, la vitesse de réaction est déterminante pour contenir l’incident et empêcher un mouvement latéral de l’attaquant sur le réseau. L’objectif est de passer d’une posture de détection à une posture de réponse active. Isoler une machine du réseau est l’une des actions les plus efficaces pour stopper net la propagation d’un malware ou l’exfiltration de données.

Les outils modernes de sécurité des terminaux, comme les plateformes EDR (Endpoint Detection and Response) ou XDR (Extended Detection and Response), permettent cette isolation en un seul clic depuis une console centralisée. Mais la véritable avancée est de lier cette action non plus seulement à la détection d’un fichier malveillant, mais à une compromission de l’identité de l’utilisateur. Si une authentification suspecte est détectée (par exemple, une connexion validée depuis un pays inhabituel), une isolation préventive du poste peut être déclenchée automatiquement.

Mettre en place une telle capacité de réponse nécessite une préparation en amont. Il ne s’agit pas seulement d’acheter un outil, mais de définir une procédure claire :

  • Définir des déclencheurs d’isolation automatique : Configurer l’EDR/XDR pour isoler un poste si des comportements anormaux liés à l’identité sont détectés (ex: validation MFA depuis une géolocalisation impossible).
  • Configurer une politique d’isolation granulaire : Il est souvent préférable de ne pas couper totalement la machine. Une politique efficace peut bloquer tout accès à Internet et au réseau local, tout en maintenant un canal de communication sécurisé avec le serveur de l’équipe de sécurité pour permettre une analyse et une remédiation à distance.
  • Obtenir l’adhésion des directions métiers : L’isolation d’un poste, surtout celui d’un collaborateur clé, peut avoir un impact opérationnel. Il est vital de pré-valider ces procédures avec les métiers pour éviter toute hésitation ou blocage bureaucratique le jour J.
  • Tester les procédures régulièrement : Comme pour un plan de reprise d’activité, les procédures d’isolation doivent être testées lors d’exercices simulés pour garantir leur efficacité et la réactivité des équipes.

Cette capacité à passer de la détection à l’action en quelques secondes est un changement de paradigme. Elle transforme la sécurité des terminaux d’un simple antivirus en un véritable système immunitaire actif pour le réseau de l’entreprise.

À retenir

  • La MFA par SMS et par notifications push excessives (« MFA Fatigue ») sont des vecteurs d’attaque actifs qui exploitent le facteur humain.
  • La migration vers des clés physiques FIDO2, même si plus coûteuse à l’achat, réduit les risques de phishing et les coûts de support IT à long terme, en particulier pour les comptes à privilèges.
  • La sécurité des accès repose autant sur des processus organisationnels robustes (récupération, offboarding, gestion des VIP) que sur la technologie elle-même.

Gestion des accès logiques : comment fermer la porte aux anciens salariés en 1 clic ?

La fin d’un contrat de travail est un moment critique pour la sécurité. Un processus d’offboarding incomplet, qui laisse des accès actifs à d’anciens collaborateurs, est une porte ouverte béante sur le système d’information. Le risque est double : un ancien employé malveillant peut saboter des systèmes ou exfiltrer des données, tandis qu’un compte « orphelin » peut être compromis et utilisé par un attaquant externe sans que personne ne s’en aperçoive. Avec la forte augmentation, notamment de +82% en 2024, des demandes d’assistance pour des violations de données personnelles, une gestion rigoureuse de l’offboarding est devenue une obligation, et non une option.

L’idéal du « départ en un clic » est atteignable à une condition : avoir centralisé la gestion des identités et des accès via un fournisseur d’identité (IdP) comme Azure AD, Okta ou Ping Identity. Lorsque tous les services de l’entreprise sont connectés à cet IdP via des protocoles standard (SAML, OpenID Connect), la révocation de l’accès de l’utilisateur principal dans l’annuaire central coupe instantanément son accès à toutes les applications fédérées.

Cependant, ce monde idéal est souvent mis à mal par le « Shadow IT » : les services cloud souscrits directement par les équipes métiers sans l’aval du département informatique. La procédure d’offboarding doit donc être plus exhaustive :

  • Révocation via l’IdP : C’est la première étape, qui coupe l’accès à tous les services officiels.
  • Découverte du Shadow IT : Utiliser des outils de type CASB (Cloud Access Security Broker) et analyser les notes de frais pour identifier les services SaaS non officiels utilisés par l’employé.
  • Dissociation du numéro de téléphone professionnel : Il est crucial de s’assurer que le numéro de téléphone de l’entreprise, qui sera réattribué, n’est plus enregistré comme méthode de récupération sur des comptes personnels ou tiers. C’est un risque majeur de SIM swapping inversé.
  • Transfert de propriété numérique : Organiser le transfert formel des documents, projets et accès aux boîtes mail partagées vers un manager ou un remplaçant.
  • Audit et clôture manuelle des comptes non fédérés : Pour chaque service découvert en Shadow IT, procéder à la fermeture manuelle du compte et documenter l’action.

Une bonne hygiène numérique organisationnelle commence par une gestion impeccable du cycle de vie des identités. Un offboarding rigoureux est la dernière ligne de défense pour s’assurer qu’une porte ne reste pas entrouverte.

Pour construire une défense efficace, l’étape suivante consiste à auditer vos processus d’authentification actuels et à modéliser le coût/bénéfice d’une migration vers des solutions résistantes au phishing.

Rédigé par Karim Belkacem, Consultant Senior en cybersécurité et auditeur certifié CISSP avec une expertise pointue en tests d'intrusion (Pentest). Fort de 10 ans d'expérience opérationnelle au sein de SOC (Security Operations Centers), il intervient sur la sécurisation des infrastructures cloud et la réponse immédiate aux attaques par ransomware. Il forme également les équipes techniques aux meilleures pratiques de DevSecOps et d'hygiène numérique.
Que faire dans les 72h si votre base de données clients est exfiltrée ?
Fraîchement publiés
Scanner de vulnérabilités : l’erreur de croire que le « vert » signifie « zéro risque »
Patch Tuesday : comment déployer un correctif critique en moins de 24h sur 500 postes ?
Correctifs logiciels : comment prioriser les mises à jour sans casser la production ?
Gestion des accès logiques : comment fermer la porte aux anciens salariés en 1 clic ?
Hygiène informatique : pourquoi vos employés collent encore leurs mots de passe sur l’écran ?
Articles similaires
Comment l’analyse forensic peut sauver votre responsabilité après une intrusion ?
Ransomware : payer ou ne pas payer la rançon, que dit la loi française ?
Comment un audit de sécurité peut réduire votre prime d’assurance cyber jusqu’à 20 % ?
Que faire dans les 72h si votre base de données clients est exfiltrée ?