SSP Editorial Team

2FA mobile : la bonne et la mauvaise méthode

·8 min de lecture·Par SSP Editorial Team
Couverture SSP Academy pour un guide sur l'authentification à deux facteurs mobile, avec des icônes de portefeuille, de clé et de bouclier sur fond sombre.

L'authentification à deux facteurs (2FA) est l'une des améliorations de sécurité les plus rentables que tu puisses faire — mais seulement si tu utilises la bonne. Pour les utilisateurs de cryptos, l'écart entre une 2FA forte et une 2FA faible, c'est l'écart entre un compte qui résiste à un attaquant déterminé et un compte qui cède. Le hic, c'est que la forme la plus courante de 2FA — un code à usage unique envoyé par SMS — est aussi la plus faible. Ce guide classe les options de la pire à la meilleure, explique pourquoi, et te donne un plan concret pour renforcer les comptes qui entourent ton portefeuille.

Une mise au point avant de commencer : le modèle de sécurité de SSP n'est pas du tout une « 2FA » au sens des codes à usage unique. SSP utilise le multisig — deux clés de signature indépendantes sur deux appareils. Nous reviendrons sur l'importance de cette distinction. D'abord, les codes.

Pourquoi la 2FA par SMS trahit les utilisateurs de cryptos

Un code à usage unique par SMS donne une impression de sécurité : tu saisis ton mot de passe, un nombre à six chiffres arrive, tu le tapes. Le problème, c'est que le second facteur — le contrôle de ton numéro de téléphone — est bien plus facile à voler que la plupart des gens ne l'imaginent.

Deux types d'attaques font les dégâts :

  • Échange de carte SIM (SIM swapping). Un attaquant convainc (ou soudoie) ton opérateur mobile de porter ton numéro vers une SIM qu'il contrôle. Une fois le numéro à lui, tous les codes SMS lui parviennent. Les détenteurs de cryptos sont une cible de choix justement parce que le butin est élevé et les transactions irréversibles.
  • Interception via SS7. SS7 est le protocole de signalisation, vieux de plusieurs décennies, que les réseaux télécoms utilisent pour acheminer appels et messages. Des faiblesses connues permettent à des attaquants bien dotés d'intercepter des SMS sans même toucher à ta SIM.

Ce n'est pas une inquiétude marginale. Le National Institute of Standards and Technology américain classe le SMS comme un authentificateur « restreint » dans NIST SP 800-63B et en déconseille explicitement l'usage pour les nouveaux systèmes. Quand l'organisme qui définit l'identité numérique te dit qu'une méthode est sur le déclin, prends-le comme un signal.

La 2FA par SMS reste mieux que pas de 2FA du tout. Mais pour tout compte qui touche à ton argent, elle devrait être ton dernier choix, pas ton choix par défaut.

Les applis d'authentification TOTP : la base pratique

La base pratique pour les utilisateurs de cryptos, c'est une appli d'authentification TOTP — celles qui affichent un code rotatif à six chiffres qui change toutes les 30 secondes. TOTP est défini par la RFC 6238, et c'est un vrai progrès par rapport au SMS pour une raison structurelle : il n'y a aucun numéro de téléphone à détourner. Le code est généré sur ton appareil à partir d'un secret partagé, si bien que l'échange de SIM et l'interception SS7 ne s'appliquent tout simplement pas.

Quelques règles rendent TOTP nettement plus solide :

  • Utilise une appli, pas le SMS, dès qu'un service propose les deux. La plupart des plateformes d'échange et des fournisseurs d'e-mail prennent en charge les applis d'authentification.
  • Sauvegarde le secret de configuration, pas seulement les codes. Au moment de l'inscription, conserve l'export de récupération comme tu protégerais n'importe quel autre identifiant sensible.
  • Garde-le, si possible, hors de l'appareil depuis lequel tu te connectes, pour qu'une seule machine compromise ne détienne pas les deux facteurs.

TOTP n'est pas parfait. Le secret partagé vit sur le téléphone, donc un appareil compromis — ou une sauvegarde cloud mal protégée de celui-ci — peut le divulguer. Et surtout, un code TOTP peut encore être hameçonné en temps réel : une fausse page de connexion convaincante relaie ton mot de passe et ton code à six chiffres tout frais directement vers la session de l'attaquant avant l'expiration du code. C'est précisément cette faille que le niveau suivant comble. Pour apprendre à reconnaître ces fausses pages, lis notre tour d'horizon des attaques de phishing visant les utilisateurs de cryptos.

Passkeys et clés matérielles : résistantes à l'hameçonnage

Les passkeys FIDO2/WebAuthn et les clés de sécurité matérielles forment le premier niveau réellement résistant à l'hameçonnage, et la raison est élégante : l'identifiant est lié cryptographiquement à l'origine du site web. Ton authentificateur ne se connecte qu'au domaine réel auprès duquel il a été enregistré. Un site d'hameçonnage qui lui ressemble a une origine différente, alors la passkey refuse tout bonnement de répondre — il n'y a aucun code à six chiffres à relayer, parce qu'il n'y a aucun code du tout.

Cette propriété compte plus que toute autre de la liste. SMS et TOTP reposent tous deux sur un humain qui lit un nombre et le tape quelque part ; les passkeys suppriment entièrement le secret copiable par un humain. Un attaquant qui construit un clone au pixel près de la connexion à ta plateforme n'obtient rien, car le défi cryptographique est résolu par du matériel qui vérifie l'origine à ta place.

Les clés de sécurité matérielles — les objets physiques que tu approches ou branches — et les passkeys de plateforme stockées dans l'élément sécurisé de ton téléphone ou de ton ordinateur mettent toutes deux cela en œuvre. Pour les comptes à forte valeur, une clé matérielle est le second facteur le plus solide et largement disponible que tu puisses acheter.

SSP Key est un cosignataire, pas un code

Voici la distinction qui fait trébucher tant de monde : la sécurité de SSP n'est pas du tout une « 2FA » au sens des codes à usage unique. C'est du multisig.

Une 2FA classique protège la connexion au compte. SSP protège la transaction elle-même. SSP utilise un schéma 2 sur 2 : une clé réside dans l'extension de navigateur, l'autre est la SSP Key sur ton téléphone. Les deux doivent signer de façon indépendante avant que des fonds puissent bouger. SSP Key est un cosignataire cryptographique — pas un nombre à six chiffres que tu tapes, mais un appareil distinct détenant une clé distincte qui produit une vraie signature.

La conséquence est structurelle. Suppose qu'un attaquant compromette entièrement ton extension de navigateur — qu'il l'hameçonne ou prenne le contrôle de la machine sur laquelle elle tourne. Avec un code à six chiffres au niveau de l'appli, ce seul compromis peut suffire. Avec SSP, non : déplacer des fonds exige toujours une approbation indépendante sur ton téléphone, où tu vois les détails de la transaction et signes avec la seconde clé. Le côté navigateur, à lui seul, ne peut rien envoyer. Cette seconde surface de signature indépendante est ce qu'un code à six chiffres ne pourra jamais être — une clé que l'attaquant doit aussi compromettre, sur un autre appareil, en même temps.

Pour être précis sur ce que cela fait et ne fait pas : SSP protège l'acte de dépenser. Cela ne remplace pas une bonne hygiène sur les comptes autour de ton portefeuille. Si tu débutes avec ce modèle, configure ton premier portefeuille SSP et observe par toi-même le flux d'approbation à deux appareils.

Sécuriser les comptes qui entourent ton portefeuille

Ton portefeuille n'est pas une île. Les comptes qui l'entourent — e-mail, connexions aux plateformes, sauvegardes cloud, gestionnaire de mots de passe — sont souvent le chemin le plus tendre vers tes fonds. Un attaquant qui prend ton e-mail peut, de là, réinitialiser la moitié de tes autres connexions.

Applique la même hiérarchie à chacun d'eux :

  • E-mail : passkey ou clé matérielle si proposée ; TOTP sinon. Jamais le SMS seul. Ton e-mail est l'interrupteur maître de réinitialisation de tout le reste.
  • Plateformes d'échange : clé matérielle ou passkey pour la connexion ; ne dépends jamais du SMS, et désactive la récupération par SMS si la plateforme te le permet.
  • Cloud et gestionnaire de mots de passe : TOTP au minimum, passkey lorsque c'est disponible.
  • Opérateur mobile : ajoute un code de portabilité (PIN) ou un verrouillage de compte pour freiner les tentatives d'échange de SIM.

Comme ton téléphone héberge de plus en plus à la fois ton authentificateur et ta SSP Key, traite-le comme une frontière de sécurité à part entière — verrouillage d'écran solide, système d'exploitation à jour, aucune appli installée hors des magasins officiels. Pour en savoir plus sur ce qu'un portefeuille centré sur le téléphone sait bien faire et moins bien faire, vois portefeuilles cryptos mobiles : leurs points forts. Et quand tu es prêt à tout renforcer d'un coup, parcours la liste de contrôle d'autoconservation pour tes premiers 1 000 $.

Un plan pour améliorer ta 2FA

Tu n'as pas à tout faire d'un coup. Procède de haut en bas, par valeur :

  1. Inventaire. Liste chaque compte qui peut toucher à ton argent ou réinitialiser un autre compte : l'e-mail d'abord, puis les plateformes, puis le cloud et le gestionnaire de mots de passe.
  2. Supprime le SMS seul. Partout où le SMS est ton unique second facteur, ajoute une méthode plus forte et retire le SMS comme voie de récupération quand le service le permet.
  3. Ajoute TOTP partout où c'est proposé. C'est ta base ; elle ferme aussitôt les failles de l'échange de SIM et du SS7.
  4. Fais passer tes comptes prioritaires aux passkeys ou à une clé matérielle. L'e-mail et les plateformes d'abord — ce sont les comptes qu'une page d'hameçonnage convoite le plus.
  5. Verrouille l'opérateur. Définis un code de portabilité pour qu'un inconnu ne puisse pas déplacer ton numéro.
  6. Revérifie chaque trimestre. Les options d'authentification évoluent ; un service qui n'avait que le SMS l'an dernier prend peut-être désormais en charge les passkeys.

Le programme « Secure Our World » de la CISA publie des conseils en langage clair, à partager avec les proches moins technophiles — vois CISA.

Continue

Une 2FA forte est une couche. Elle protège les portes autour de ton portefeuille ; le multisig de SSP protège la dépense elle-même. Ensemble, ils suppriment les points de défaillance uniques qui piègent la plupart des gens.

Continue à bâtir à partir d'ici :

Partager cet article

Articles connexes

Illustration pas à pas d'un portefeuille SSP en cours de configuration sur un téléphone et un navigateur

Configurer votre premier portefeuille SSP

Guide pas à pas pour SSP Wallet : installez l'app et l'extension, appairez deux appareils, créez un portefeuille 2-of-2 et envoyez votre première transaction.

6 min read
Couverture SSP Academy pour un guide débutant sur les portefeuilles crypto mobiles et SSP Key

Portefeuille crypto mobile : atouts, risques et SSP Key

Ce que les portefeuilles crypto mobiles réussissent — accès permanent, déverrouillage biométrique, scan QR —, leurs limites et la place de SSP Key.

7 min read
Illustration de sécurité SSP avec des icônes de portefeuille, clé, bouclier et puce, illustrant un guide sur les attaques de phishing crypto.

Les attaques de phishing ciblant les utilisateurs de crypto (et comment les repérer)

Le phishing crypto vous cible, pas la cryptographie. Repérez les schémas — draineurs, phishing d'approbation, empoisonnement d'adresses — et comment SSP aide.

7 min read