Gmail : Google veut remplacer les codes de vérification par SMS par des QR codes
Google s'apprête à tourner la page des codes de vérification envoyés par SMS pour la connexion à Gmail. Jugée trop vulnérable face aux cyberattaques, cette méthode d'authentification va progressivement être remplacée par un système basé sur les QR codes. Une décision qui s'inscrit dans une stratégie plus large de renforcement de la cybersécurité et de modernisation des méthodes d'identification en ligne.
Les limites des SMS en matière de sécurité
Longtemps perçue comme une solution efficace pour la double authentification, la vérification par SMS présente aujourd'hui de nombreuses failles. Le phishing, le SIM swapping (détournement de numéros de téléphone) et d'autres formes de fraude exploitent ces vulnérabilités pour accéder frauduleusement aux comptes des utilisateurs. En outre, les SMS ne sont pas chiffrés de bout en bout, ce qui les rend interceptables par des cybercriminels.
Au-delà des enjeux de sécurité, Google met en avant une raison économique pour justifier cette transition : la lutte contre le "traffic pumping". Cette fraude consiste à inciter les entreprises à envoyer un grand nombre de SMS à des numéros contrôlés par des escrocs, générant ainsi des revenus indus. Google souhaite donc se défaire de cette dépendance aux SMS, tout en renforçant la sécurité de ses services.
Une nouvelle méthode d'authentification : le QR code
Dans les mois à venir, Google mettra en place un système où les utilisateurs devront scanner un QR code affiché sur leur écran au lieu de recevoir un code à six chiffres par SMS. Ce processus s'effectuera via l'appareil photo du smartphone et garantira une connexion plus sécurisée. D'après le porte-parole Ross Richendrfer dans Forbes, cette transition vise à "réduire l'impact de l'abus généralisé des SMS" et à proposer une solution plus robuste face aux cybermenaces.
L'utilisation des QR codes permet de réduire les risques d'interception et d'exploitation des codes de connexion. Contrairement aux SMS, cette méthode ne dépend pas d'un opérateur téléphonique et s'intègre mieux aux nouveaux standards de cybersécurité. De plus, elle s'inscrit dans une tendance plus large visant à rendre l'authentification moins dépendante des mots de passe et des canaux traditionnels.
Vers une authentification plus moderne et fiable
Ce changement s'accompagne d'autres innovations en matière de sécurisation des comptes en ligne. Google mise notamment sur les passkeys, une alternative aux mots de passe qui repose sur la reconnaissance biométrique ou l'utilisation de dispositifs de confiance.
Avec la fin annoncée des SMS pour l'authentification, Google invite désormais ses utilisateurs à adopter des solutions plus sûres. Les applications d'authentification comme Google Authenticator ou Microsoft Authentication restent recommandées pour ceux qui souhaitent renforcer davantage la protection de leurs comptes.
Bien que Google n'ait pas encore annoncé de date précise pour l'abandon définitif des SMS, la transition est en marche. Une évolution qui pourrait bien inspirer d'autres acteurs du web à emboîter le pas pour améliorer la sécurité en ligne.