Comment réduire vos coûts de SMS avec les clés d'accès

1. Introduction#

Après l'annonce de X d'interrompre l'authentification à double facteur (2FA) basée sur les SMS pour les utilisateurs non abonnés à Twitter Blue à partir du 20 mars 2023 en réponse à l'abus de la 2FA par SMS par les fraudeurs, des questions se posent concernant d'autres inconvénients potentiels de l'authentification basée sur les SMS.

Malgré son adoption large par les entreprises en général (à un ou deux facteurs) pour offrir une meilleure protection des comptes à leurs utilisateurs, cette méthode d'authentification s'accompagne souvent d'inconvénients supplémentaires au-delà des problèmes de sécurité.

Dans cet article, nous explorerons ces inconvénients, y compris la fraude et les défis liés aux coûts, à la fiabilité et à l'expérience utilisateur. Pour y remédier, les clés d'accès peuvent être utilisées comme la nouvelle méthode d'authentification standard sans mot de passe, supérieure à bien des égards par rapport aux méthodes d'authentification basées sur les SMS.

À la lumière du potentiel remplacement par les clés d'accès, nous, chez Corbado, offrons une solution de clés d'accès prête à l'emploi (plug-and-play) pour faire d'Internet un endroit sûr et faire économiser d'emblée à votre entreprise d'énormes dépenses liées aux SMS.

2. Qu'est-ce que l'authentification basée sur les SMS ?#

Avant d'explorer les inconvénients de l'authentification basée sur les SMS, il est essentiel de comprendre son concept fondamental. L'authentification basée sur les SMS comprend deux types principaux :

• L'authentification à facteur unique
• L'authentification à double facteur

Le premier inclut des méthodes telles que les codes à usage unique (OTP) envoyés par SMS, offrant une alternative de connexion sans mot de passe par rapport aux mots de passe traditionnels. Le second utilise un processus en deux étapes pour assurer la protection 2FA. Les utilisateurs s'inscrivent / se connectent d'abord avec leur nom d'utilisateur / e-mail et mot de passe, puis confirment leur inscription / connexion grâce à un code à usage unique envoyé sur leur téléphone mobile par SMS.

3. Inconvénients de l'authentification basée sur les SMS#

Plongeons plus profondément dans les inconvénients de l'authentification basée sur les SMS en mettant en lumière les différentes formes de fraude associées à cette méthode de connexion et en découvrant les défis liés à la fiabilité, à l'expérience utilisateur et aux coûts financiers engagés pour la mise en œuvre, l'exploitation et la maintenance de cette technologie d'authentification.

3.1 Fraude : les SMS sont utilisés pour pirater les comptes utilisateurs#

Les SMS ont été inventés il y a plus de 20 ans et n'ont reçu aucune mise à jour de sécurité majeure depuis lors. C'est pourquoi la fraude par SMS est un problème énorme.

3.1.1 Pompage de trafic SMS#

Dans l'authentification basée sur les SMS, lorsqu'un utilisateur demande un code d'authentification ou un lien par SMS, le fournisseur de services envoie le code ou le lien au numéro de téléphone mobile de l'utilisateur via un message SMS. Le pompage de trafic SMS tire parti de ce processus en envoyant un volume massif de messages SMS indésirables et souvent frauduleux à un numéro de téléphone spécifique.

Les fraudeurs des systèmes de pompage de trafic SMS exploitent les accords de partage des revenus entre les opérateurs de réseaux mobiles (MNO) et les fournisseurs de services de messagerie. Ils visent à gonfler le trafic SMS et à générer des revenus plus élevés pour eux-mêmes, car les fournisseurs de services de messagerie paient aux MNO des frais pour la livraison de chaque message. Comme souligné par un employé actuel de Stytch sur Hacker News, les MNO collaborent avec le pirate informatique en partageant les revenus ici. Bien que des mesures préventives spécifiques telles que la désactivation de la réception de SMS pour certains numéros de téléphone (autorisations géographiques), la mise en œuvre de limites de taux et la détection des bots puissent aider à atténuer le pompage de trafic SMS, l'élimination complète de son utilisation abusive est presque impossible en raison de la conception du processus d'envoi.

En conséquence, les entreprises et les fournisseurs de services font souvent face à des dépenses importantes dues à l'augmentation des messages entrants. Commsrisk indique que Twitter a perdu à lui seul la somme incroyable de 60 millions de dollars US par an à cause du pompage de trafic SMS. De plus, les utilisateurs légitimes peuvent subir des retards dans la réception de leurs codes ou liens d'authentification.

3.1.2 Échange de carte SIM (SIM Swapping)#

Dans ce type de fraude, les fraudeurs exploitent les vulnérabilités de l'infrastructure des MNO pour transférer le numéro de téléphone mobile d'une victime vers une nouvelle carte SIM. Ce faisant, les attaquants prennent le contrôle du numéro de téléphone de la victime, ce qui leur permet d'intercepter les SMS entrants, y compris les codes ou les liens d'authentification. Une fois qu'ils ont pris le contrôle du numéro de téléphone d'un utilisateur, ils peuvent contourner le processus d'authentification et obtenir un accès non autorisé à ses comptes sur diverses plateformes. L'échange de carte SIM est difficile à détecter. Les attaquants utilisent souvent l'ingénierie sociale pour tromper le support client des MNO, leur permettant de transférer le numéro de la victime vers une nouvelle carte SIM. Comme les entreprises avec des utilisateurs concernés n'en sont souvent pas conscientes, les attaques par échange de carte SIM entraînent généralement des fuites de données, des pertes financières et des dommages à la réputation de l'entreprise.

3.2 Coûts#

Les SMS coûtent cher et il n'y a pas de tendance réelle visible qui pointe vers une réduction des prix des SMS.

3.2.1 La mise en œuvre de l'authentification basée sur les SMS coûte cher#

Pour l'authentification basée sur les SMS, il existe deux options de mise en œuvre. Vous pouvez soit construire et maintenir un système en interne, soit utiliser une solution d'authentification externe. Bien qu'une approche mixte soit possible, cette dernière option est recommandée pour plus de simplicité. Selon une enquête de Messente, la construction en interne d'une solution 2FA uniquement par SMS peut facilement coûter un montant à cinq chiffres. C'est pourquoi opter pour une solution externe, qui est généralement moins chère, est souvent une meilleure idée.

3.2.2 Exploitation : chaque SMS envoyé peut coûter jusqu'à 20 centimes#

L'envoi de messages d'authentification basés sur les SMS aux utilisateurs étant très complexe, presque toutes les entreprises font appel à un fournisseur expérimenté. Leurs services entraînent des coûts de transaction qui varient en fonction du fournisseur choisi. Ces coûts dépendent de facteurs tels que :

• le nombre de SMS envoyés
• les pays cibles vers lesquels les SMS sont envoyés
• des fonctionnalités supplémentaires.

Certains fournisseurs peuvent facturer des frais supplémentaires pour une authentification réussie par SMS, bien que cela soit souvent inclus dans le prix global. Selon miniOrange, les prix des transactions se situent généralement entre 0,01 et 0,20 dollar US par SMS, avec des services SMS de haute qualité directement liés aux principaux fournisseurs commençant autour de 0,06 dollar US. Les utilisateurs de produits numériques étant souvent situés dans différents pays, l'achat de divers forfaits SMS augmentera les dépenses. Selon nos informations, cela montre à quelle vitesse les coûts d'envoi des messages d'authentification à eux seuls peuvent monter en flèche et pourquoi l'authentification basée sur les SMS coûte à une entreprise leader du commerce électronique 12 millions de dollars US par an. Évidemment, vous pouvez proposer l'authentification basée sur les SMS uniquement pour les pays cibles clés et ainsi économiser de l'argent, mais ce n'est qu'une goutte d'eau dans l'océan et cela aurait également un impact négatif sur l'expérience de certains utilisateurs.

3.2.3 Maintenance : maintenir le système à jour entraîne des coûts supplémentaires#

La majorité des coûts de maintenance sont généralement couverts par les prix des transactions. Ceux-ci comprennent les dépenses liées à la capacité des fournisseurs à gérer de grands volumes de SMS, à faciliter la livraison internationale de SMS à divers MNO, à mettre en œuvre les mesures de sécurité essentielles et à garantir la conformité aux réglementations. Cependant, des dépenses supplémentaires peuvent survenir pour l'entreprise, telles que la gestion des relations avec les fournisseurs de SMS, le support utilisateur et l'allocation de ressources pour faire face aux temps d'arrêt et aux problèmes techniques.

3.3 Fiabilité : les SMS peuvent se perdre#

Dans le contexte de l'authentification basée sur les SMS, cela fait référence à la livraison cohérente et rapide du SMS et à l'accessibilité ininterrompue du système d'authentification par le code d'authentification envoyé. En fonction de l'infrastructure locale, les retards de livraison des messages, la congestion du réseau et les temps d'arrêt potentiels du système peuvent entraver la réception rapide des codes d'authentification. Cela peut causer de la frustration chez les utilisateurs et entraver le processus d'authentification.

3.4 Expérience utilisateur : l'expérience sur ordinateur est inférieure#

Un aspect clé à considérer est la convivialité variable selon les différentes plateformes. L'authentification basée sur les SMS fonctionne très bien sur les appareils mobiles grâce à la fonction de remplissage automatique qui facilite la saisie du code d'authentification. À l'inverse, sur les ordinateurs de bureau, vous devez utiliser un appareil supplémentaire, votre téléphone mobile, pour saisir manuellement le code d'authentification, ce qui se traduit par une expérience moins intuitive et moins pratique. Comme mentionné précédemment, l'expérience utilisateur en souffre également lorsque des attaques frauduleuses se produisent, ou lorsque des problèmes surviennent dans la livraison des SMS et la récupération du code d'authentification.

4. Les clés d'accès comme remplacement de l'authentification basée sur les SMS#

Jusqu'à présent, les clés d'accès ont principalement été perçues comme l'alternative sans mot de passe aux seuls mots de passe.

De plus, comme les clés d'accès offrent une fonctionnalité 2FA intégrée, elles servent d'alternative aux mots de passe et à tout type d'authentification basée sur les SMS. Cela renforce la sécurité et évite les défis de l'expérience utilisateur posés par les codes à usage unique basés sur les SMS. En remplaçant les messages d'authentification, les clés d'accès apportent des avantages substantiels qui éliminent efficacement les inconvénients de l'authentification basée sur les SMS.

4.1 MFA résistant à l'hameçonnage et sécurité robuste#

Contrairement à l'authentification basée sur les SMS, qui peut être sensible à l'interception et à la manipulation, les clés d'accès offrent une protection robuste contre toutes les formes d'attaques frauduleuses grâce à l'utilisation d'une infrastructure à clé publique. Cela garantit que même si une faille de serveur se produit, les comptes utilisateurs restent protégés car la clé privée essentielle demeure sécurisée dans l'appareil de l'utilisateur, intégrée au système d'exploitation. De plus, la liaison des clés d'accès au service en ligne spécifique enregistré est une mesure de contre-attaque aux tentatives d'hameçonnage (phishing), ce qui fait des clés d'accès la méthode d'authentification la plus sécurisée actuellement disponible.

4.2 Éviter les coûts (de transaction) élevés#

Tout comme l'authentification basée sur les SMS, la mise en œuvre des clés d'accès a un coût. Bien qu'il soit possible de gérer la mise en œuvre en interne, l'accent mis sur l'authentification sécurisée conduit souvent à préférer des spécialistes. Leur expertise coûte une fraction des coûts internes et s'aligne sur ce que les fournisseurs d'authentification basés sur les SMS facturent pour la mise en œuvre. D'un point de vue des coûts, l'avantage significatif d'investir dans les clés d'accès est l'élimination du besoin d'envoyer des SMS pour la connexion et l'inscription. Les utilisateurs peuvent plutôt se connecter en toute sécurité en utilisant Face ID ou Touch ID. Cela entraîne non seulement des économies potentielles de millions de dollars sur les coûts d'authentification chaque année (en particulier pour les grandes entreprises orientées vers les consommateurs), mais élimine également tous les défis qui peuvent survenir lors de l'envoi et de la réception de SMS.

Pour vérifier les numéros de téléphone des utilisateurs, souvent requis pour le marketing ou à d'autres fins de communication, l'envoi d'un premier SMS avec un code à usage unique reste une option. Cela permet aux SMS de fonctionner avec les clés d'accès. De plus, les SMS peuvent servir de méthode de secours. La distinction clé entre les deux scénarios et l'authentification traditionnelle basée sur les SMS est que les SMS ne sont envoyés qu'occasionnellement au lieu d'être envoyés à chaque tentative de connexion.

4.3 Authentification pratique et expérience utilisateur améliorée#

L'adoption de la biométrie (par ex., Face ID, Touch ID, Windows Hello) pour déverrouiller les téléphones et les ordinateurs de bureau est rapidement devenue courante parmi les utilisateurs. Les clés d'accès étendent désormais cette expérience familière au déverrouillage des comptes. Étant donné que la plupart des téléphones mobiles et des ordinateurs de bureau sont déjà compatibles avec les clés d'accès, ils offrent un remplacement un à un de l'authentification basée sur les SMS. Avec des scans d'empreintes digitales ou faciaux locaux depuis l'appareil, l'exigence d'un deuxième appareil, comme c'est encore le cas pour l'authentification par SMS sur ordinateur portable, est éliminée. Cette amélioration substantielle simplifie l'expérience utilisateur et rend la connexion au compte sans effort. Une autre caractéristique unique des clés d'accès est Conditional UI. Cette fonctionnalité améliore le confort de l'utilisateur en suggérant et en préremplissant automatiquement les clés d'accès stockées lorsque les utilisateurs interagissent avec le champ de saisie du nom d'utilisateur. Cela élimine la nécessité de rechercher manuellement des identifiants, y compris les noms d'utilisateur, car ceux-ci sont déjà stockés en toute sécurité dans l'appareil ou le navigateur et sont préremplis automatiquement.

5. Comment Corbado permet d'économiser jusqu'à 90 % des coûts SMS avec des taux d'adoption des clés d'accès 10x supérieurs#

La transition vers l'authentification basée sur les clés d'accès ne concerne pas seulement une UX de connexion plus fluide et une meilleure MFA (résistante au phishing). Les clés d'accès peuvent également réduire considérablement les coûts des OTP par SMS si deux objectifs sont atteints :

• un taux d'adoption élevé des clés d'accès
• un taux de connexion élevé avec les clés d'accès

La technologie des clés d'accès et la conception intelligente de Corbado se concentrent sur l'optimisation de ces deux aspects afin de réaliser d'importantes économies sur les coûts des SMS. Nous parvenons à des économies allant jusqu'à 90 % avec des taux d'adoption des clés d'accès 10 fois plus élevés que les solutions de bricolage (DIY) traditionnelles. Voyons comment.

5.1 Maximiser le taux d'adoption des clés d'accès#

La première étape consiste à convertir les utilisateurs existants en utilisateurs de clés d'accès en leur permettant de créer des clés d'accès dans les paramètres du compte. Cependant, cela ne suffit pas à augmenter les taux d'adoption des clés d'accès parmi la base d'utilisateurs existante. Corbado propose plusieurs solutions :

• Enrôlement automatique progressif : Notre moteur d'intelligence des clés d'accès est conçu pour optimiser le processus d'enrôlement aux clés d'accès, en guidant les utilisateurs vers l'adoption des clés d'accès d'une manière fluide et sans friction chaque fois que cela est possible (par ex. pendant la connexion avec des méthodes d'authentification traditionnelles). Cette approche proactive garantit que les utilisateurs ne sont pas submergés ou confus, réduisant ainsi les taux d'abandon et augmentant l'adoption globale.
• Création automatique de clés d'accès locales : Si les clients se connectent via l'authentification inter-appareils (Cross-Device Authentication), on leur offre la possibilité de créer une clé d'accès locale dans l'environnement qu'ils utilisent actuellement, augmentant ainsi l'adoption des clés d'accès sur tous leurs appareils. Dans les situations où l'ordinateur de bureau actuel ne dispose pas d'un authentificateur de plateforme pour créer une clé d'accès, une stratégie centrée sur le mobile (mobile-first) peut être employée pour créer une clé d'accès sur un téléphone mobile.
• Mise à niveau automatique des clés d'accès : Le moteur de décision de Corbado facilite une mise à niveau automatique vers les clés d'accès pour les utilisateurs, augmentant de manière significative les taux d'adoption sans nécessiter de participation active de l'utilisateur. Cette transition fluide est propulsée par notre moteur de décision passkey intelligence, qui fonctionne automatiquement sur les appareils iOS 18+ (d'autres suivront).

Nous veillons à ce que plus d'utilisateurs adoptent les clés d'accès sans effort, atteignant des taux d'adoption 10 fois supérieurs à ceux des implémentations de clés d'accès faites soi-même.

5.2 Maximiser le taux de connexion par clé d'accès#

La deuxième étape importante consiste à déclencher les connexions par clé d'accès chaque fois que possible et à encourager activement la réutilisation des clés d'accès existantes.

• Approche Identifier-First : Démarrer le processus de connexion en ne demandant qu'un identifiant (par ex. adresse e-mail) et déterminer ensuite automatiquement si une connexion par clé d'accès est possible simplifie l'UX et encourage une plus grande utilisation des clés d'accès. Cette méthode réduit le nombre d'étapes nécessaires à la connexion des utilisateurs, rendant le processus plus rapide et plus intuitif que de proposer un bouton distinct "Sign in with Passkey", que les consommateurs ignorent fréquemment.
• Authentification inter-appareils et connexion One Tap par clé d'accès : Corbado bascule automatiquement sur l'authentification WebAuthn inter-appareils lorsqu'aucune clé d'accès locale n'est disponible. De plus, une fois qu'une connexion par clé d'accès a été enregistrée sur un appareil, le champ d'identifiant de l'utilisateur est automatiquement converti en un bouton One Tap Passkey Login, ce qui rend la connexion encore plus fluide.

5.3 Résultat : 90 % de baisse des coûts SMS, une adoption des clés d'accès 10x supérieure#

L'approche innovante de Corbado pour maximiser l'adoption et les taux de connexion des clés d'accès offre des avantages significatifs par rapport aux approches DIY. En tirant parti de cette conception intelligente, nous veillons à ce que les utilisateurs intègrent non seulement les clés d'accès mais les adoptent activement, ce qui entraîne des taux d'adoption et de connexion jusqu'à 10 fois supérieurs. Ce changement améliore non seulement la sécurité et l'expérience utilisateur, mais permet également de réaliser des économies substantielles, en particulier en réduisant jusqu'à 90 % les dépenses d'OTP par SMS. Dans la prochaine ère des clés d'accès, où une authentification efficace et sécurisée est importante, Corbado se démarque en tant que leader dans la promotion de l'adoption et de la rentabilité.

6. Conclusion#

Pour résumer, les clés d'accès offrent une solution pratique pour s'attaquer aux inconvénients de l'authentification basée sur les SMS. Elles offrent une sécurité robuste, une rentabilité et une excellente expérience utilisateur, ce qui en fait un remplacement intelligent. Avec la technologie biométrique et des fonctionnalités conviviales comme Conditional UI, les clés d'accès rendent la sécurité transparente et l'expérience utilisateur fluide sur toutes les plateformes. Pour les entreprises qui cherchent à améliorer leur processus d'authentification, la solution de clés d'accès de Corbado est un moyen simple d'améliorer la sécurité, de réduire les coûts et de laisser derrière soi les défis de l'authentification basée sur les SMS. Contactez-nous pour une solution d'authentification par clés d'accès sur mesure pour votre configuration OTP par SMS / 2FA.

À propos de Corbado

Corbado est la Passkey Intelligence Platform pour les équipes CIAM qui gèrent l'authentification client à grande échelle. Nous vous montrons ce que les logs IDP et les outils d'analytics génériques ne voient pas : quels appareils, versions d'OS, navigateurs et gestionnaires de credentials prennent en charge les passkeys, pourquoi les enrôlements ne deviennent pas des connexions, où le flux WebAuthn échoue et quand une mise à jour OS ou navigateur casse silencieusement la connexion — le tout sans remplacer Okta, Auth0, Ping, Cognito ni votre IDP interne. Deux produits : Corbado Observe ajoute l'observabilité pour les passkeys et toute autre méthode de connexion. Corbado Connect apporte des passkeys managés avec analytics intégrés (aux côtés de votre IDP). VicRoads gère les passkeys pour plus de 5M d'utilisateurs avec Corbado (+80 % d'activation passkey). Parler à un expert Passkey →