Déconseillé pour l’authentification à double facteur, le SMS est encore là

Tel un prêcheur dans le désert. Fin juillet, l’organisme américain en charge des standards et des technologies, le NIST, recommandait vivement d’abandonner l’envoi de codes à usage unique par SMS pour l’authentification en ligne à facteurs multiples. Pour lui, le second canal de communication « devrait être authentifié et protégé ». Ce qui n’est pas le cas du SMS.

Et malgré cet appel, les pratiques semblent peiner à évoluer. Pour l’illustrer, Duo Security s’est penché sur les usages de ses clients : « nos données montre que le pourcentage d’utilisateurs uniques utilisant le SMS est en léger déclin depuis le début de l’année. Il y a une absence notable de changement significatif du rythme de déclin depuis que le NIST a revu ses recommandations ». Avant cette révision, le SMS était utilisé par 6 à 8 % des utilisateurs uniques de Duo Security. Aujourd’hui, ce taux tend à s’établir légèrement en dessous de 6 %.

L’éditeur en profite sans surprise pour promouvoir ses propres solutions, à commencer par Duo Push qui s’appuie sur le notifications d’une application mobile pour transmettre un code d’authentification à usage unique. Une chose qu’Apple propose nativement au sein d’iOS pour l’authentification à double facteur sur ses services en ligne. Mais Google propose également une alternative, avec son service Authenticator, supporté par plusieurs applications mobiles et pouvant être intégré dans des applications. Une extension Wordpress est notamment disponible.