2FA par SMS : renforcer la sécurité de vos utilisateurs
Un système de double authentification (2FA) permet d’ajouter une couche de vérification quant à l’identité d’un utilisateur lors de sa connexion. Le SMS reste un canal populaire pour le second facteur. Chez Eve Media, nous implémentons la 2FA pour sécuriser les applications de nos clients.
Pourquoi la 2FA
Le mot de passe seul est insuffisant : réutilisation, phishing, fuites. Le second facteur (« quelque chose que vous avez ») ajoute une barrière. Même avec le mot de passe compromis, l’attaquant n’a pas accès au téléphone.
Le flux d’authentification
L’utilisateur entre son email/mot de passe. Si corrects, un code est envoyé par SMS au numéro enregistré. L’utilisateur entre le code. Si correct, la session est créée. Le code expire après quelques minutes.
Générer le code
Un code numérique de 6 chiffres est standard. Utilisez un générateur cryptographiquement sécurisé (crypto.randomInt en Node.js). Stockez le hash du code, pas le code en clair. Définissez une expiration (5-10 minutes) et un nombre de tentatives max.
Envoyer le SMS
Utilisez un provider SMS : Twilio, Vonage, MessageBird, OVH SMS. Ces services offrent des APIs simples. Le message type : « Votre code de vérification est 123456. Il expire dans 10 minutes. »
Vérifier le code
L’utilisateur soumet le code. Comparez le hash avec celui stocké. Vérifiez que le code n’est pas expiré. Incrémentez le compteur de tentatives. Après 3-5 tentatives échouées, bloquez temporairement ou demandez un nouveau code.
Sécuriser le flux
Rate limiting : limitez les envois par numéro et par IP. Invalidez le code après utilisation (one-time use). Utilisez HTTPS partout. Loguez les tentatives pour détecter les attaques.
Enregistrer le numéro
Lors de l’activation de la 2FA, vérifiez le numéro en envoyant un code. Ne stockez que les numéros vérifiés. Permettez la mise à jour du numéro avec une procédure sécurisée (re-authentification).
Méthodes de backup
L’utilisateur peut perdre son téléphone. Proposez des codes de backup (codes à usage unique à conserver). Ou une adresse email de récupération. Sans backup, les utilisateurs peuvent être verrouillés.
Limites du SMS
Le SMS n’est pas le second facteur le plus sécurisé : SIM swapping, interception. Pour les applications très sensibles, préférez TOTP (Google Authenticator) ou les clés physiques (YubiKey). Le SMS reste acceptable pour la plupart des cas.
Services tout-en-un
Des services comme Twilio Verify, Auth0, Firebase Auth gèrent tout le flux de 2FA. Moins de code à écrire, meilleures pratiques incluses. Évaluez le build vs buy selon votre contexte.
Conclusion
La 2FA par SMS est un bon compromis entre sécurité et friction utilisateur. L’implémentation demande de l’attention aux détails de sécurité. Protégez vos utilisateurs avec ce second facteur.
Chez Eve Media, nous sécurisons les applications de nos clients. Contactez-nous pour vos besoins d’authentification.
