Les experts en sécurité sont presque unanimes dans leur aversion pour l’authentification SMS non cryptée depuis plus d’une décennie, mais les dirigeants d’entreprise – et les clients – apprécient sa commodité. La réduction des coûts pourrait enfin avoir un impact sur l’utilisation des SMS en entreprise.
Lorsque PayPal a commencé à envoyer un e-mail à ses clients ce mois-ci pour l’informer qu’il renonçait aux SMS non cryptés pour l’authentification multifacteur (MFA) lors de la connexion, il était accompagné de l’astérisque typique d’évitement d’approche.
Le géant des services financiers a signalé qu’il tournait la page de la méthode d’authentification tant décriée tout en n’offrant aucun délai et en assurant aux clients que les SMS ne disparaîtraient pas complètement – une curieuse stratégie qui pourrait aider à atténuer la perte de clients.
SMS a une longue histoire d’opposition de la part des responsables de la sécurité, soulignant principalement la facilité avec laquelle il peut être détecté et soumis à des attaques de l’homme du milieu, entre autres. En conséquence, Google a renoncé aux SMS, tout comme Microsoft, Cisco et même la Banque centrale des Émirats arabes unis.
« Les SMS en tant que facteur d’authentification sont une invention du diable et devraient être interdits par une loi du Congrès », déclare Gary Longsine, PDG d’IllumineX, résumant ainsi la frustration de nombreux spécialistes de la sécurité.
Pourtant, les SMS demeurent, en grande partie pour des raisons de commodité, étant donné que de nombreux dirigeants d’entreprise craignent que toute modification des processus MFA soit considérée comme une friction susceptible d’entraîner une perte de clients ou une réduction de l’engagement.
« Ils ne veulent pas perdre des utilisateurs qui ne font rien d’autre que des SMS comme deuxième facteur », déclare Brian Levine, consultant en cybersécurité, ancien procureur fédéral et aujourd’hui directeur exécutif d’FormerGov. « Bien que l’AMF basée sur les applications soit généralement considérée comme plus sécurisée que l’AMF basée sur SMS, tous les utilisateurs ne sont pas prêts à prendre le temps de configurer l’AMF basée sur les applications, donc en faire une exigence absolue a tendance à entraîner moins de conversions. »
Garret Grajek, PDG de la société de certification d’accès YouAttest, a directement vécu ce recul de l’unité commerciale.
« Nous avons conçu une authentification très forte et le RSSI l’a adoré, mais les équipes de sécurité ne voulaient pas repousser les demandes des utilisateurs » pour des SMS non cryptés, dit-il, ajoutant qu’un responsable de l’unité commerciale a fait valoir que le renforcement de la sécurité « va nous coûter de l’argent ».
« Je suis désolé pour PayPal car ils sont victimes des batailles qui se déroulent dans les unités commerciales contre la sécurité. Et la sécurité ne gagne pas toujours », ajoute-t-il.
Efforts confus, messages contradictoires
Flavio Villanustre, RSSI du groupe LexisNexis Risk Solutions, déclare qu’il a « toujours trouvé étrange » que PayPal prenne toujours en charge les SMS comme principal facteur d’authentification secondaire.
« Tous les acteurs des services financiers et du gouvernement l’ont abandonné parce qu’il n’est pas suffisamment sécurisé et s’orientent même vers une authentification résistante au phishing, comme les clés d’accès, les Yubikeys », explique-t-il.
Le changement de PayPal a été annoncé par e-mail envoyé à certains clients plus tôt ce mois-ci. « À partir de mars 2026, nous commencerons à supprimer les codes SMS (pour la connexion MFA), mais ils seront toujours disponibles dans le cadre de nos contrôles de sécurité standard », indique l’e-mail de PayPal.
La référence de PayPal aux contrôles de sécurité standard fait référence au moment où son système, tirant parti de l’analyse comportementale, signale une interaction client comme potentiellement frauduleuse en fonction de facteurs tels que la taille de la transaction ou l’écart par rapport aux modèles historiques.
Néanmoins, Grajek trouve étrange la décision de PayPal de conserver l’utilisation des SMS pour les contrôles frauduleux. Lorsque le système signale un problème potentiel, dit-il, « vous souhaitez effectuer un niveau (d’authentification) plus élevé. Pourquoi voudriez-vous désamorcer (à un niveau d’authentification inférieur) ? »
L’e-mail du client de PayPal indiquait que la société « commencerait à supprimer » les SMS en mars, mais la durée de ce processus n’est pas claire. La logistique est un facteur, car ces communications sont destinées à une clientèle mondiale d’environ 439 millions de personnes et d’entreprises. PayPal regroupera ces messages sur une période prolongée.
PayPal évaluera probablement également la réaction des clients, se donnant ainsi de la flexibilité en ne s’engageant pas sur une date de fin ferme. PayPal a refusé de commenter cette histoire.
L’e-mail de PayPal suggérait aux clients de passer de leur méthode MFA à une application d’authentification ou à un porte-clés émettant un mot de passe unique, comme ceux compatibles avec les clés de sécurité FIDO2. Étrangement, l’e-mail demandait aux utilisateurs de clés de sécurité de « mettre l’appareil dans votre port USB et vous êtes prêt », malgré le fait que les appareils mobiles communiquent avec les clés via NFC ou des connecteurs mobiles, et non via des ports USB, et que la plupart des utilisateurs effectuent des transactions avec PayPal via des appareils mobiles.
L’e-mail PayPal demandait également aux clients de « mettre à jour votre méthode de vérification sur paypal.com. Connectez-vous à votre compte et utilisez l’icône d’engrenage pour accéder aux paramètres de sécurité et mettre à jour votre vérification en 2 étapes ». Le problème ? Lorsque l’e-mail a été reçu, cette page de sécurité n’offrait aucun moyen direct d’effectuer la modification.
Le service client a suggéré aux clients de désactiver complètement MFA, puis de le réactiver. Cette option peu sécurisée a fonctionné et l’utilisateur a ensuite pu effectuer la modification. Des tests plus approfondis ont révélé qu’un utilisateur pouvait cliquer sur le bouton « Ajouter un nouvel appareil », même s’il n’avait pas l’intention d’ajouter un nouvel appareil. Cela présentait également un écran où le client pouvait modifier sa méthode MFA.
Melody Brue, analyste principale chez Moor Insights & Strategy, affirme que l’utilisation des SMS peut encore être utile dans certaines situations isolées, mais que PayPal semble essayer de jouer sur les deux tableaux.
«Il me semble qu’ils essaient d’atténuer le choc de dire ‘les SMS ne sont pas assez sûrs’. Ils disent que vous ne pouvez pas l’utiliser pour vérifier qui vous êtes, à moins que nous craignions que vous ne soyez pas vous-même », explique Brue. « Ils s’éloignent clairement des SMS. Ils doivent le faire. Ils doivent s’aligner sur les nouvelles normes. Dans les services financiers, vous ne voulez même pas vous embêter avec » les SMS.
Le coût financier des SMS pourrait être la goutte d’eau qui fait déborder le vase
Mais Brue a également évoqué une autre raison pour laquelle PayPal pourrait s’éloigner de l’authentification par SMS : la réduction des coûts. L’envoi de messages SMS implique des coûts importants pour PayPal, tandis que demander aux clients de s’authentifier avec une clé FIDO2 ou une application d’authentification est gratuit pour l’entreprise.
Le coût des messages SMS individuels est faible : par exemple, AWS facture une fraction d’un centime pour chaque message. Mais étant donné que PayPal gère environ 25 milliards de transactions par an, ces fractions s’additionnent rapidement.
De plus, les attaquants testent régulièrement les systèmes PayPal « et peuvent déclencher des millions de codes SMS », ajoute Brue. « Pour une entreprise sous une nouvelle direction et particulièrement sensible aux marges en ce moment, envoyer des millions de codes à des robots qui ne sont pas nécessaires ? C’est une ligne facile à couper et c’est une victoire OPEX. »
Justin Greis, PDG du cabinet de conseil Acceligence et ancien responsable de la pratique nord-américaine de cybersécurité chez McKinsey, déclare que sa principale préoccupation concernant l’authentification SMS est « l’échange de cartes SIM, le détournement de cartes SIM – nous avons vu cela augmenter ».
« PayPal est l’un des e-mails les plus usurpés et spammés », ajoute-t-il.
Steven Eric Fisher, un conseiller indépendant en cybersécurité et en risques qui a été directeur de la cybersécurité, des risques et de la conformité chez Walmart jusqu’en août 2025, est d’accord sur les nombreux inconvénients de l’authentification par SMS, qualifiant les SMS de « barre de protection très basse ». Mais il est moins enthousiaste que la plupart des autres à l’égard des applications d’authentification.
Les applications d’authentification « ne sont que légèrement meilleures que les SMS. Chacune a ses propres défauts », explique Fisher. « FIDO2 est la meilleure option du point de vue de la sécurité, mais l’adoption par l’utilisateur final » peut ralentir car le client doit payer pour chaque appareil FIDO2 « ainsi que (faire l’expérience) des difficultés imposées à l’utilisateur pour l’inscription et l’utilisation ».
