La transmission d'un code OTP par SMS présente plusieurs vulnérabilités :
- interception des SMS sur le réseau téléphonique ;
- interception ou copie du SMS par une application malveillante sur le téléphone du destinataire ;
- transfert de la carte SIM destinatrice par un attaquant ("SIM swapping").
Ainsi l'OTP SMS ne constitue pas un facteur d'authentification sûr. Même associé à un mot de passe, il ne permet pas d'obtenir un moyen d'authentification fiable, et c'est pourquoi il a été abandonné dans le domaine bancaire pour les opérations sensibles.
Un argumentaire relatif aux facteurs d'authentification, et détaillant ce point, est mis à disposition par l'ANSSI : https://www.ssi.gouv.fr/guide/recommandations-relatives-a-lauthentifica…
- interception des SMS sur le réseau téléphonique ;
- interception ou copie du SMS par une application malveillante sur le téléphone du destinataire ;
- transfert de la carte SIM destinatrice par un attaquant ("SIM swapping").
Ainsi l'OTP SMS ne constitue pas un facteur d'authentification sûr. Même associé à un mot de passe, il ne permet pas d'obtenir un moyen d'authentification fiable, et c'est pourquoi il a été abandonné dans le domaine bancaire pour les opérations sensibles.
Un argumentaire relatif aux facteurs d'authentification, et détaillant ce point, est mis à disposition par l'ANSSI : https://www.ssi.gouv.fr/guide/recommandations-relatives-a-lauthentifica…