Le 2FA par SMS n’est pas seulement peu sûr, il est aussi hostile aux habitants des zones montagneuses

 (blog.stillgreenmoss.net)
1 points par GN⁺ 2025-05-15 | 1 commentaires | Partager sur WhatsApp
  • Le 2FA basé sur les SMS n’est pas seulement peu sûr, il cause aussi de grands désagréments aux habitants des régions montagneuses
  • Dans les zones montagneuses où le signal cellulaire est faible, il est difficile de recevoir les codes d’authentification envoyés par SMS
  • Le simple fait d’utiliser les appels Wi‑Fi ou un smartphone ne suffit pas à résoudre le problème du 2FA
  • La méthode TOTP (mot de passe à usage unique basé sur le temps) peut être une alternative, mais son accès initial n’est pas simple
  • Explication d’une situation absurde vécue par des millions d’habitants de zones montagneuses lors de la connexion à des sites web

Vue d’ensemble du problème

  • L’amie de l’auteur est une femme d’une soixantaine-dizaine d’années vivant dans une zone montagneuse de Caroline du Nord
  • Elle n’aime pas les ordinateurs, mais participe à des discussions de groupe sur Signal et utilise un smartphone pour rester en contact avec sa communauté
  • Elle utilise depuis longtemps une ligne téléphonique fixe, bien compatible avec ses appareils auditifs
  • Spectrum est en situation de monopole local pour les télécommunications, et elle utilise Spectrum à la fois pour le téléphone fixe et pour l’internet par câble

Apparition du problème avec le service cellulaire et le 2FA par SMS

  • Il y a quelques années, elle a souscrit au service mobile de Spectrum Mobile, qui utilise le réseau de Verizon
  • Chez elle, il n’y a presque aucun signal cellulaire. Elle vit pourtant à 20 minutes en voiture du centre-ville et a beaucoup de voisins
  • Tous ses principaux comptes (e-mail, banque, assurance santé, etc.) tentent d’envoyer les codes 2FA par SMS
  • Les codes SMS n’arrivent pas. À domicile, le service cellulaire est insuffisant, et même avec les appels Wi‑Fi activés, les SMS de sécurité envoyés depuis des numéros courts (5 chiffres) ne sont pas reçus
  • Elle utilise un iPhone récent et du matériel officiellement fourni, et sait s’en servir

Recherche d’alternatives et limites

  • Certaines lignes fixes fournies par des FAI proposent une fonction qui lit les SMS à voix de synthèse sur ordinateur, mais ce n’est pas le cas chez Spectrum
  • Certains sites permettent de passer au 2FA TOTP, mais il faut pouvoir y accéder au moment de la première connexion
  • Procédure pénible nécessaire pour tenter de résoudre le problème :
    • dresser la liste des sites où la connexion échoue
    • aller en ville pour rencontrer son ami afin de régler le problème
    • essayer un par un de basculer vers le TOTP ou une autre méthode, quand c’est possible
    • tenter de contacter le service client, souvent difficile voire impossible à joindre

Des alternatives en pratique irréalistes

  • Porter le numéro vers un service VOIP dans l’espoir de pouvoir recevoir les SMS envoyés depuis des numéros courts
  • Dépenser plusieurs centaines de dollars pour installer un amplificateur de signal cellulaire
  • Envisager même de déménager
  • L’auteur souligne le caractère absurde du fait qu’une telle procédure soit nécessaire pour une simple connexion

Le problème de fiabilité des cartes de couverture cellulaire

  • Sur la carte de couverture de Spectrum, la maison et ses alentours sont indiqués comme bénéficiant d’un service parfait
  • En réalité, il n’y a pas de service à la maison, et il suffit de se déplacer de 100 mètres pour perdre tout signal

Une difficulté commune à d’innombrables habitants des zones montagneuses

  • Un ami millennial décrit lui aussi le 2FA par SMS comme “un fléau au quotidien”
  • Même dans des endroits qui ne sont pas au fond d’une vallée encaissée, il existe des problèmes liés au 2FA par SMS

Les limites et difficultés du TOTP

  • Le TOTP n’est pas non plus parfait
    • il faut installer une application séparée
    • le choix de l’application à utiliser est complexe et accompagné de nombreuses explications techniques

Conclusion et ampleur du problème

  • Si le 2FA par SMS est si largement utilisé, c’est en raison d’une UX intuitive et d’une certaine fiabilité
  • Mais 1,1 million de personnes dans les montagnes de Caroline du Nord, et 25 millions dans l’ensemble des Appalaches, soit des millions de personnes, vivent dans des conditions défavorables
  • Elles ont internet, mais un signal mobile très mauvais
  • Ces habitants disposent de trop peu d’alternatives raisonnables ou de mesures adaptées à leur situation

À lire aussi

1 commentaires

 
GN⁺ 2025-05-15
Avis Hacker News

  • Il est intéressant de constater qu’une autre option qu’elle pouvait choisir consistait à porter son numéro de téléphone vers un fournisseur VOIP capable de recevoir les SMS en Wi‑Fi, mais elle a découvert que certaines entreprises n’envoient pas de codes SMS-OTP aux numéros VOIP pour des raisons de seCuRiTé, ou exigent que le numéro soit enregistré à son nom ; je pense que ce genre de restriction devrait être illégal, un numéro n’est qu’un numéro ; même avec le Wi‑Fi calling activé, on reçoit les SMS des amis ou de la famille, mais pas les codes 2FA ; je pensais que le SMS over IMS était implémenté de manière transparente pour les expéditeurs externes, mais vu à quel point le protocole SMS lui-même est bancal, ce n’est pas si surprenant

    • Je pense pouvoir expliquer comment fonctionne le système SMS : il envoie simplement les messages « à l’aveugle ». Si le destinataire est hors ligne ou n’a pas de signal, l’opérateur conserve le message pendant environ 3 à 7 jours. Les systèmes OTP font des vérifications de joignabilité via Vonage, l’API Twilio, etc., mais ces vérifications ne sont pas parfaites ; si quelque chose semble anormal, le message n’est pas envoyé. Cette méthode sert à réduire le coût des messages. Je trouve absurde qu’elle s’applique aussi à des numéros déjà vérifiés

    • D’un point de vue européen, la directive financière PSD2 n’autorise déjà les SMS pour la 2FA qu’aux numéros dont le KYC a été complété. La 2FA joue au final le rôle d’une signature électronique prouvant « quelque chose que vous possédez », et ce quelque chose est un numéro de téléphone vérifié. J’insiste sur le fait que le SMS est la seule méthode 2FA facile à déployer pour l’ensemble de la population, des régions et des terminaux

    • Je trouve complètement absurde que ces mêmes entreprises n’acceptent que le SMS pour la 2FA tout en refusant la VOIP ; c’est probablement parce qu’elles passent toutes par un service particulier pour l’envoi des SMS, et que ce service bloque la VOIP. Il est presque obligatoire pour toutes les banques d’exiger la 2FA par SMS, alors que le fait que d’autres prennent en charge une app reste très étrange

    • On n’est qu’en 2025, et le numéro de téléphone reste la seule méthode qui résout plus ou moins le problème de Sybil (une personne qui crée plusieurs comptes). On peut vérifier une identité jusqu’à un certain point sans procédure KYC formelle

    • J’ai déjà utilisé le Wi‑Fi calling uniquement pour recevoir des SMS 2FA, avec la combinaison RedPocket (MVNO) et T-Mobile, sans aucun problème. Il n’y avait pas de signal T-Mobile direct dans la zone, donc les SMS ne passaient que par le Wi‑Fi. Le forfait était aussi bon marché. Il y avait en revanche des soucis avec d’anciens téléphones, par exemple l’absence de prise en charge de certaines bandes

    • Par nature, les messages des amis et de la famille sont du P2P, tandis que la 2FA est de l’A2P, machine vers personne. Le traitement de ces deux cas est clairement différent

    • Même si l’on porte le numéro vers un fournisseur VOIP, je pense que l’expéditeur ne peut pas distinguer si ce numéro est mobile ou VOIP. Je continue à bien recevoir les SMS 2FA après ce type de portage

    • Quand on utilise différents services bancaires, certains envoient sans problème des jetons SMS même vers Google Voice, alors que d’autres ne l’autorisent qu’en passant par le service client ; les politiques semblent totalement aléatoires. Certains refusent via le canal normal mais lisent exactement le même code via appel vocal automatisé. J’ai vraiment l’impression que les politiques de sécurité sont arbitraires

    • L’option de recevoir des codes SMS-OTP via VOIP est au final une mauvaise idée. Cela ne fonctionnera que pendant un temps, puis ce sera bloqué à mesure que les politiques de sécurité se durciront. Toutes ces mesures ne visent pas réellement à protéger l’utilisateur, mais à mettre des barrières face au flot incessant de spam et de trafic frauduleux. Le simple fait d’avoir un vrai numéro de téléphone sert de « Proof of Work », et il n’existe pas d’alternative réaliste

    • Le vrai problème, c’est le SMS lui-même ; tout ce débat est donc sans intérêt. À mon avis, l’usage du SMS devrait être illégal

  • Avec seulement une microcellule/femtocellule, c’est très efficace dans les endroits où le signal est faible, comme à la maison ou au bureau. Si vous contactez votre fournisseur en expliquant que le signal est mauvais, il peut vous envoyer gratuitement un AP (Access Point) qui fait la passerelle internet → cellulaire. Ces appareils ont une entrée RJ-45 et une antenne GPS, ce qui permet même de prendre en charge les données de localisation e911. Notre magasin se trouve aussi dans une vallée avec des murs métalliques, et autrefois il fallait monter jusqu’à la colline pour téléphoner ; après avoir demandé une femtocellule à chaque opérateur et les avoir installées, tout le monde a pu basculer automatiquement via le réseau ISP et utiliser le service normalement. Même les MVNO sont pris en charge. En revanche, pour utiliser une femtocellule, il faut peut-être passer par le service direct de l’opérateur plutôt que par un MVNO

    • Il semble que t-Mobile ne prenne plus en charge l’équipement appelé microcellule ; voir la page d’assistance

    • Les femtocellules ont aussi des inconvénients : elles nécessitent absolument un signal GPS, donc dans les zones montagneuses cela peut être difficile. J’en ai utilisé pendant des années, et il arrivait qu’elles cessent de fonctionner sans raison apparente, sans même indiquer pourquoi

    • J’ai reçu gratuitement un 4G LTE Network Extender de Verizon. Un problème, c’est qu’en quittant la maison la connexion se coupe. Une fois, j’étais en train d’appeler le 911 et le signal a été interrompu pendant mon déplacement ; quand on sort de la portée, l’appel s’arrête jusqu’à ce que la reconnexion se fasse. Ensuite, Verizon m’a contacté pour corriger les informations de localisation

    • Je trouve surprenant que les grands opérateurs acceptent que n’importe qui exploite une tour cellulaire (microcellule) connectée à un ISP non vérifié. Ce sont normalement des entreprises obsédées par le contrôle de leur marque, mais sur ce point elles sont incroyablement permissives

  • En roaming à l’étranger, je laisse la carte SIM dans mon téléphone Android à la maison, branché sur secteur, et j’utilise une app qui transfère les SMS via une API. Je peux recevoir tous les SMS par e-mail. J’utilise cette méthode sans problème depuis des années. Même au quotidien, c’est pratique de recevoir les SMS OTP sur l’ordinateur. La réception MMS ne fonctionne pas, mais ce n’est pas important

    • J’appelle cette méthode « 2FA Mule ». Je l’utilise depuis plus de 4 ans et je trouve que ça marche très bien. C’est une bonne option

    • Si vous avez un téléphone compatible double SIM et WiFi calling, vous pouvez utiliser une eSIM data-only dans le pays visité et continuer à recevoir les SMS sur la SIM d’origine

    • J’ai fait quelque chose de similaire en laissant un téléphone Android à la maison et en accédant à un service de messagerie web sur mon ordinateur portable pour recevoir les SMS. Aujourd’hui, comme les SMS fonctionnent aussi en Wi‑Fi calling, ce n’est plus forcément un problème

    • Il paraît que les téléphones Android pourraient être modifiés pour redémarrer automatiquement tous les 3 jours, donc cette méthode pourrait bientôt cesser de fonctionner

    • Je ne vois pas pourquoi cette méthode serait liée au roaming. J’ai souvent utilisé le roaming en Europe et ailleurs sans jamais avoir de problème pour recevoir des SMS

  • Cet article est un peu de niche : on dirait que le code SMS 2FA est arrivé dès l’activation du service cellulaire, mais en réalité il faut peut-être d’abord terminer l’enregistrement 2FA puis sortir à l’extérieur pour que le code puisse s’activer. TOTP n’est d’ailleurs pas si compliqué ; il suffit de choisir une app pour la personne et de l’aider à imprimer les codes de secours, et il n’y a généralement pas de problème

  • Google Fi peut recevoir en Wi‑Fi tous les SMS de double authentification, y compris ceux envoyés par numéros courts ; on peut même tout recevoir dans un navigateur web sur n’importe quel appareil si le téléphone est éteint ou cassé. J’aime énormément cette fonctionnalité. Le service commence à 20 dollars par mois. Avant, cela marchait bien dans les zones montagneuses grâce au partenariat avec US Cellular, mais récemment la situation a évolué avec une forme d’absorption partielle côté T-Mobile

    • J’ai vécu 12 ans hors des États-Unis, et avant Google Fi j’avais toujours des problèmes avec les SMS. Beaucoup de banques s’entêtent à imposer l’authentification par SMS, mais les numéros virtuels VOIP posent deux problèmes : (1) certaines banques refusent le service pour des raisons de sécurité ; (2) certains ne peuvent tout simplement pas recevoir les SMS pour des raisons techniques. Google Fi, lui, redirige même via le Wi‑Fi quand il n’y a pas de service mobile. Après un mois hors des États-Unis, les données sont coupées, mais tant qu’on peut utiliser SMS et voix, cela suffit largement

    • Je me demande si RCS et « messages for web » sont utilisables. À une époque, il fallait activer la synchronisation Fi pour pouvoir utiliser les textos et la voix même téléphone éteint, mais dans ce cas la fonction RCS était désactivée. Je me demande si c’est toujours le cas et à quelle URL on peut utiliser les textos et la voix

  • Je partage l’idée que les attentes des utilisateurs sont excessives. Par exemple, pour louer un scooter Lime, une erreur dans la configuration du VPN a coupé mon accès internet et je n’ai pas pu finaliser le retour. Le GPS a détecté l’arrêt et j’ai été remboursé des frais supplémentaires, mais si la batterie de mon téléphone avait été vide, cela aurait pu devenir très problématique. Il faut se préparer à ce genre d’imprévus en déplacement

    • Quand on utilise les nouveaux casiers DHL en Allemagne, il n’y a pas d’écran et tout fonctionne uniquement via l’app. Il faut à la fois le Bluetooth et une connexion internet. Comme le casier lui-même a déjà internet, cette exigence de l’app me semble inutile

  • Il existe toujours des mécanismes hostiles à certains groupes. Il n’existe pas de méthode 2FA parfaite, et chacune a ses inconvénients La 2FA par SMS est faible en sécurité, mais c’est la plus largement utilisée et la plus simple à récupérer Les apps TOTP offrent une sécurité forte, mais la récupération est difficile en cas de perte ou de changement d’appareil Les tokens matériels comme Yubikey coûtent de l’argent et posent eux aussi des problèmes de récupération La méthode la plus sûre serait à mon avis que le gouvernement fédéral exploite un système centralisé d’authentification matérielle (le département de la Défense américain le fait déjà avec les cartes CaC), mais aux États-Unis un tel système serait très difficile à mettre en place à cause des controverses sur la vie privée et des questions budgétaires. La 2FA par SMS est hostile aux zones rurales ou montagneuses, mais en réalité aucune 2FA n’est parfaite

    • La confidentialité de l’authentification est importante dans certains contextes, comme le vote, mais dans des cas où il faut clairement prouver son identité, comme avec une banque, je ne pense pas que les préoccupations de vie privée s’appliquent autant

    • Les Yubikey et autres peuvent sembler difficiles à récupérer, mais si l’on en enregistre plusieurs, perdre l’une n’empêche pas d’utiliser une autre clé pour en enregistrer une nouvelle

  • Si l’on installe l’app Google Voice, certains services 2FA sont pris en charge, mais pas d’autres. Certains services refusent les numéros GV. GV peut recevoir les SMS en Wi‑Fi. Si l’on demande une femtocellule à un opérateur, c’était autrefois peu cher, mais c’est aujourd’hui abandonné et les prix montent jusqu’à 2 500 dollars. On peut aussi s’inscrire sur mightytext.net pour recevoir les SMS sur son ordinateur, mais je ne suis pas sûr que cela fonctionne sans signal cellulaire. Je l’utilise parce qu’il est plus pratique d’écrire les SMS au clavier d’un portable qu’avec les doigts

    • Il est aussi possible de connecter un modem USB à un ordinateur et de le placer à un endroit où le signal passe, puis d’y accéder via internet. De mon côté, j’utilise l’inverse avec un Raspberry Pi pour de la supervision à distance. À l’époque du prototype, je faisais aussi du parsing de SMS. Ce n’est pas adapté à tout le monde, mais je le partage dans l’esprit HN

    • mightytext.net ne fonctionne pas si le téléphone n’a pas de signal. Le relais des SMS ne peut être assuré que par l’opérateur. Il est aussi difficile d’intégrer ce type de service avec tous les opérateurs américains, et les contraintes techniques sont importantes. Seul le service de SMS satellite d’Apple peut relayer les messages en accédant directement au routeur SMS

    • L’un des avantages de cette méthode est qu’on peut protéger l’accès aux SMS avec une MFA (authentification multifacteur)

  • TOTP, HOTP, etc. peuvent être mis en œuvre sans données d’identification personnelle comme un numéro de téléphone. Le SMS exige un numéro, et si ce numéro est lié à vos données personnelles, il a bien plus de valeur pour le marketing ou l’agrégation de données

    • La plupart des services qui exigent une authentification par SMS connaissent déjà des données personnelles comme le nom ou l’adresse (finance, licences, santé, etc.), donc le débat sur l’agrégation marketing est en pratique assez peu pertinent. Si un service comme TikTok réclame absolument un numéro, soit j’utilise un numéro jetable, soit je refuse

    • TOTP/HOTP ne peuvent pas fournir la propriété WYSIWYS (« what you see is what you sign ») pour des cas comme « j’essaie de payer ce montant à ce commerçant ». Pour les paiements bancaires, une confirmation directe est nécessaire. Dans l’UE, WYSIWYS peut d’ailleurs être exigé par la réglementation, ce qui impose des apps bancaires dédiées pour combler ce vide temporaire. Les standards actuels, comme WebAuthN, ne suffisent pas ; il faudrait selon moi de nouvelles approches, comme l’extension SPC, ainsi que des authentificateurs matériels

  • J’habite moi aussi à la campagne, et il m’arrive d’avoir des problèmes de SMS de code qui n’arrivent pas. Certains jours, ils arrivent, d’autres non, et je ne comprenais pas pourquoi. Cet article m’explique clairement la cause. J’utilise habituellement les services Spectrum pour le Wi‑Fi comme pour le mobile, et comme je dépends du Wi‑Fi selon la force du signal, cela expliquait ce phénomène