Vérification par SMS : qu’est-ce que c’est et comment ça marche ?

En juillet 2024, la plus grande brèche de l’histoire a révélé plus de 10 milliards de mots de passe d’utilisateurs du monde entier. Bien que tous les mots de passe n’aient pas été utiles aux pirates, cette violation nous a rappelé à quel point la sécurité traditionnelle basée sur les mots de passe peut être fragile. En fait, plus de 80 % des violations sont dues à des mots de passe faibles, réutilisés ou volés. Pour les entreprises, la situation est claire : les mots de passe traditionnels ne suffisent plus et il est temps d’adopter des méthodes de vérification multicouches plus robustes pour garder une longueur d’avance sur les menaces de sécurité.

C’est là qu’intervient la vérification par SMS, une solution d’authentification simple mais très efficace, accessible aux utilisateurs du monde entier.

Examinons les principes de base de la vérification par SMS, son fonctionnement et la manière dont elle peut protéger votre entreprise contre les risques de cybersécurité associés à des identifiants compromis.

La vérification par SMS est un processus de sécurité qui utilise la technologie Short Message Service (SMS) pour confirmer l’identité d’un utilisateur final lors de transactions en ligne, de connexions à un compte ou d’autres activités sensibles. Elle est couramment utilisée par les sites, les applications, les banques et les réseaux sociaux pour vérifier l’identité des utilisateurs.

L’objectif principal de la vérification par SMS est de renforcer la sécurité au-delà d’un simple nom d’utilisateur et d’un mot de passe, en aidant les entreprises à réduire le risque d’accès non autorisé, d’usurpation d’identité et d’autres menaces numériques.

La vérification par SMS peut porter différents noms. Bien que ces termes se ressemblent, ils mettent en évidence des aspects différents de la vérification par SMS :

• Two-factor authentication (2FA) and multi-factor authentication (MFA) refer to adding extra layers of security. 

• One-time passwords (OTPs) are single-use codes. 

• L’authentification par SMS englobe l’utilisation plus large de textos pour confirmer l’identité des utilisateurs.

Du point de vue des utilisateurs finaux, la vérification par SMS se présente comme suit :

1. Réception d’un code : après avoir saisi leur nom d’utilisateur et leur mot de passe, les utilisateurs reçoivent par SMS un code numérique, à durée limitée et utilisable une seule fois.

2. Saisie du code : les utilisateurs ouvrent le message et saisissent le code sur un site, une application ou une autre plateforme numérique. Cette étape confirme qu’ils sont les propriétaires légitimes de leur compte.

3. Accès accordé : une fois le numéro correct saisi, l’identité de l’utilisateur est confirmée dans le système et l’accès au compte lui est accordé.

C’est simple, rapide et sécurisé. Mais attention ! Si vous recevez un code de vérification par SMS que vous n’avez pas demandé, cela peut être louche.

L’authentification par SMS est-elle sûre ?

Bien que le SMS ne soit pas crypté, il offre un niveau de sécurité solide et est préférable à une absence totale de protection. Les mots de passe à usage unique envoyés par SMS sont généralement abordables et largement accessibles. C’est une option habituelle et pratique pour de nombreux utilisateurs.

Bien qu’elle ne soit pas infaillible, l’authentification par SMS est une bonne première étape pour sécuriser les comptes en ligne et les interactions numériques.

Une alternative sécurisée à l’authentification par SMS pourrait être l’utilisation d’applications d’authentification mobiles telles que Google Authenticator ou Microsoft Authenticator. Toutefois, ces applications nécessitent une configuration et une gestion distinctes, et elles ne sont pas aussi répandues que les SMS.

Notre rapport 2024 sur les connexions avec les clients montre que 61 % des consommateurs s’attendent à ce que les messages de double authentification arrivent en une minute maximum. Et comme les SMS sont généralement délivrés instantanément, c’est un canal idéal pour répondre à ces attentes.

SMS authentication provides a good layer of security for transactions and logins, but it won’t be completely successful in stopping attacks in all circumstances. Its vulnerabilities to issues like SIM swapping and smishing can also leave people susceptible to sophisticated attacks.  

Résumons quelques-uns des avantages et des inconvénients de la vérification par SMS.

Additionally, enterprises need to be aware of types of more sophisticated SMS fraud like Artificially Inflated Traffic (AIT) that could rack up huge bills if they send SMS one-time passwords.

Maintenant que nous avons vu ce qu’est la vérification par SMS et comment elle est utilisée, examinons quelques exemples concrets d’entreprises qui l’utilisent pour la vérification de comptes dans les secteurs de la banque, de la technologie et de la livraison de nourriture.

Les codes de vérification par SMS dans le secteur bancaire

Dans le monde de la finance, les codes de vérification envoyés par SMS ajoutent une couche supplémentaire de sécurité dont les banques ont impérativement besoin pour instaurer la confiance dans le monde numérique d’aujourd’hui.

SMS verification is exactly how Triodos Bank, a world leader in sustainable banking, ensures customer account security. Anytime there’s an attempt to log in to a user’s online account or mobile app, Triodos Bank sends an OTP to that user’s registered mobile number. It’s an easy way to verify identities and keep things secure.  

La vérification par SMS dans le domaine du SaaS et de la technologie

SaaS and technology companies often rely on timely notifications to keep users in the loop and ensure positive customer experiences. In the case of EasyPark Group, a leading global parking tech company, they use SMS verification to send timely notifications to customers and let them know that their parking is about to expire. This adds an extra layer of security in their app login process and makes sure that the messages reach the right person.  

L’ajout de la vérification à l’application a permis d’augmenter le taux de conversion, ou le nombre de personnes ayant bien saisi leur mot de passe à usage unique, d’environ 7 %.

Les SMS pour réduire la fraude sur les comptes

Have you ever been in the position where your brand is offering discounts or incentives to new users, but then you realize that some people are creating multiple fake accounts to use discount codes more than once? That problem is exactly why aiqfome, one of the largest food delivery platforms in Brazil, decided to roll out SMS verification via Android and iOS. 

Désormais, aiqfome peut vérifier toutes les nouvelles inscriptions pour un nouveau compte sur l’application. Chaque nouvelle utilisatrice ou nouvel utilisateur du compte reçoit un code de vérification par SMS en temps réel lors de son inscription, ce qui garantit que le numéro de téléphone mobile ne peut être utilisé qu’une seule fois.

Cette approche peut aider les marques à réduire considérablement le nombre de faux comptes et de comptes dupliqués. Pour aiqfome, il était essentiel de préserver les revenus perdus par son réseau de restaurants partenaires.

Dans certaines situations, une entreprise ne pourra pas choisir la vérification par SMS. Heureusement, il existe d’autres méthodes de vérification possibles.

• Flash call: Often used in markets where SMS costs are very high, it delivers an automated call to a user’s smartphone or mobile device, using a randomly generated number as a one-time code for quick and easy verification. Learn more about Sinch Flash Call.  

• Data verification: Data verification compares the end user’s phone number against a special code or token linked to their mobile data session. Leveraging mobile operators’ subscriber data, it verifies a user’s identity without requiring them to enter a PIN or any private information. Instead, the verification happens behind the scenes, removing the risk of errors and social engineering. Learn more about Sinch Data Verification.  

• Voice verification: Voice verification sends an incoming call with a voice call delivered by a text-to-speech software. The user enters the code into a platform or system for access. Learn more about Sinch Phone Call Verification.  

• Verification via other messaging channels: Other messaging channels like Rich Communication Services (RCS) and WhatsApp also get the job done for sending verification codes. When businesses send RCS OTPs or WhatsApp OTPs, their messages come from a branded profile, boosting trust with users. And with a provider like Sinch, you can add automatic SMS fallback if the recipient’s data connection is spotty, so your OTPs always get through.  

• Email verification: Similarly, email verification sends a verification link or code to a user’s provided email address for confirmation. This service is available through Sinch’s enterprise-grade email solution, Mailgun Optimize.  

When it comes to flash call, data verification, voice verification, and SMS verification tools, Sinch offers a unified solution called Verification API. With failover functionality, the solution automatically switches to alternate verification methods if one fails. 

_{Magnus Lundstedt, Product Manager for Sinch Verification, describes the pros and cons of different verification methods.} 

Quelle est la différence entre la vérification par SMS et la vérification par email ?

Les vérifications par SMS et par email ont le même objectif d’identification des utilisateurs, mais utilisent des canaux différents pour y parvenir. La vérification par email consiste généralement à envoyer un lien ou un code de confirmation à l’adresse email des utilisateurs, tandis que la vérification par SMS envoie un code numérique directement sur un appareil mobile via un texto.

We usually recommend blending authentication methods to offer your users the best protection and experience.  

Il existe de nombreux services de vérification par SMS. Comment choisir le bon ?

Here are a few things to keep in mind as you choose an SMS provider: 

• Security and compliance: When selecting a supplier, make sure they have multiple data centers in different locations (just in case something goes wrong!) and that they’re PCI and ISO27001 certified. This means they follow the best security practices and have a solid plan to protect your business information. 

• Fast, reliable delivery: OTPs are time-sensitive, and users often only have a few minutes to enter them before they expire. That’s why you should look for an SMS API that can scale without compromising speed.  

• Reliable fallback methods: While SMS is widely available, sometimes messages can’t be delivered due to temporary disruptions. Look for an SMS service provider that offers various fallback methods if SMS messages fail to be delivered or if costs are too high. Alternatively, make sure your provider offers verification through other channels like WhatsApp, RCS, or email to ensure a reliable verification process no matter what.

Malheureusement, pour beaucoup trop d’entreprises, la seule chose qui empêche la création de faux comptes est un nom d’utilisateur et un mot de passe. Cette seule couche de sécurité ne suffit plus aujourd’hui, les fraudeurs et les pirates informatiques étant de plus en plus malins.

Heureusement, il existe des outils comme la vérification par SMS qui peuvent vous aider à confirmer l’identité de vos utilisateurs avant de leur accorder l’accès.

Pour plus de ressources sur les SMS, consultez les articles suivants :

• SMS marketing: What it is, how to use it, and best practices 

• Transactional SMS: Best practices for customer satisfaction 

• Short code texting: Unlock the power of SMS communication 

• What is an SMS API? Here’s everything you’ve ever wanted to know 

• How to choose the right SMS provider and evaluate their performance 

• SMS vs email: Which channel is best for marketing? 

• 30+ SMS templates to get you started 

• 20+ promotional text message examples you’ll love 

Or, if you want to get started with SMS verification, let’s chat. Our team can help you make sure your customer comms strategy is aligned with best practices at every step!