Avec l'authentification à un compte et les méthodes de vérification en deux étapes, il y a bien longtemps que Google ne goûte plus trop les SMS pour l'envoi des codes de validation.
« Bien que toutes les formes de validation en deux étapes renforcent la sécurité de votre compte, les codes de validation envoyés par SMS ou par téléphone peuvent être piratés », peut-on lire sur les pages d'aide de Google.
Un risque souvent mis en avant est le SIM swapping, avec un attaquant qui parvient à tromper un opérateur pour le convaincre d'assigner le numéro de téléphone d'une victime à une carte SIM en sa possession.
Un code QR à la place du code par SMS
À Forbes, un porte-parole de Gmail confie que Google envisage d'abandonner l'envoi des codes à six chiffres par SMS comme outil d'authentification à deux facteurs pour Gmail. L'objectif est de réduire les risques pour les utilisateurs et de mieux contrôler l'abus des services.
Au lieu d'un code par SMS après avoir saisi un numéro de téléphone, Gmail affichera un code QR. Il faudra ainsi le scanner avec l'application de l'appareil photo du smartphone pour procéder à une authentification.
Un tel changement est prévu pour prendre place au cours des prochains mois. Il s'inscrit dans une volonté de repenser la manière dont les numéros de téléphone sont vérifiés. Pour le moment, peu de détails sont toutefois connus.
S'éloigner des messages SMS pour l'authentification
Pour la validation en deux étapes, d'autres méthodes alternatives au SMS sont les invites Google, des applications de code de validation du type Google Authenticator.
En outre, un souhait de Google est que les passkeys (codes d'accès) deviennent la norme en tant que méthode d'authentification, mais l'adoption massive mettra du temps.
« Tout comme nous voulons abandonner les mots de passe en utilisant des outils tels que les passkeys, nous voulons nous éloigner de l'envoi de messages SMS pour l'authentification. »
