Adieu les SMS sur Gmail pour la double authentification. Google désire les remplacer par une autre méthode, moins exposée aux abus et aux pratiques de piratage : les QR codes. Le changement, selon l’entreprise américaine, sera positif pour la sécurité des internautes, mais il faudra encore attendre un peu avant de le voir se concrétiser.

C’était un mouvement qui était apparu en 2019. Pour améliorer la sécurité de la double authentification, Google a commencé à déployer un système ne passant plus par l’envoi d’un code temporaire par SMS, afin de privilégier une approche consistant à afficher une notification sur le smartphone associé au compte. L’idée, en somme ? Se passer des textos.

Presque 6 ans plus tard, force est de constater que le rythme n’est sans doute pas allé aussi vite que l’entreprise américaine l’aurait souhaité. Mais les lignes pourraient très bientôt bouger, à en croire Forbes dans un article du 26 février 2025. À la place des SMS est prévu un code QR que l’internaute devra scanner avec son téléphone pour s’authentifier.

Source : Numerama
Le nouveau système imaginé par Google doit impliquer des QR codes. // Source : Numerama

« De la même manière que nous voulons abandonner les mots de passe au profit d’outils tels que les passkeys, nous voulons abandonner l’envoi de SMS pour l’authentification », a confirmé un porte-parole de la société à nos confrères. Cela concernera notamment Gmail et, par ricochet, des millions de personnes employant ce webmail.

Profitez pleinement de votre vie numérique !

Avec Bitdefender, votre vie numérique est entre de bonnes mains. Restez à l’abri des escroqueries, des virus et des ransomwares grâce à ses solutions innovantes et discrètes.

Protéger ma vie numérique

La double authentification, appelée aussi authentification à deux facteurs ou authentification forte, constitue déjà pour le public une excellente protection contre les accès frauduleux. En plus de l’identifiant et du mot de passe, cela nécessite d’inscrire un code provisoire, reçu soit par SMS ou bien généré via une application mobile dédiée — le tout, associé au compte.

Des SMS insécurisés et exposés au SIM swapping

Cette sécurité en « second rideau » limite ainsi la casse si jamais le mot de passe est divulgué pour une raison ou pour une autre. Le problème, c’est que ce second rideau a quelques faiblesses. Concernant les SMS, ceux-ci ne sont pas très sûrs et pas très confidentiels. En outre, ils sont exposés à un type d’attaque spécifique : le SIM swapping.

Cette approche consiste à procéder à un échange de carte SIM dans le but de faire en sorte de transférer le numéro de téléphone vers un autre mobile, celui d’une personne malveillante. Ce faisant, celle-ci se retrouve en position de recevoir les SMS de double authentification, puisque ces codes sont liés à la ligne téléphonique qui vient d’être détournée.

Source : PublicDomainPictures - Pixabay
Des cartes SIM, qui ont donné leur nom à l’attaque dite de SIM swapping. // Source : PublicDomainPictures – Pixabay

Il est certes toujours mieux d’avoir un compte protégé par l’authentification à deux facteurs par SMS qu’un compte sécurisé uniquement pas le binôme de l’identifiant et du mot de passe. Mais, en raison du caractère très sensible du webmail (c’est là que l’on reçoit les demandes de réinitialisation du mot de passe d’autres comptes), il est temps de monter en gamme.

En passant par le QR code, on retire donc les SMS de l’équation, et par la même occasion tous les défauts associés. Par ailleurs, cela permet aussi de réduire la voilure face au risque d’hameçonnage. L’internaute ne « reçoit » rien et n’a donc rien à « envoyer » s’il se fait berner par un phishing. Avec les SMS, ce risque existe. Pas avec le Code QR.

Il reste à voir si cette bascule du SMS vers le QR code sera simple pour le public, mais la pratique consistant à scanner ces carrés en noir et blanc avec l’objectif de son appareil photo est devenue banale. D’ailleurs, elle a connu une forte démocratisation — d’aucuns diront une adoption à marche forcée — du temps de l’épidémie de covid-19.

Cette transition prendra visiblement encore un peu de temps à advenir. Le porte-parole de Google a déclaré que cette transformation dans la façon dont les numéros de téléphone seront vérifiés surviendra « ces prochains mois ». Cela devrait donc être progressif et, par ailleurs, faire l’objet d’une communication particulière de Google.

une comparateur meilleur gestionnaire mdp numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'oeil

Ajoutez Numerama à votre écran d'accueil et restez connecté au futur !

Marre des réseaux sociaux ? Rejoignez la communauté Numerama sur WhatsApp !