Comment les Passkeys permettent de réduire les coûts des SMS

Suite à l'annonce de X (anciennement Twitter) de mettre fin à l'authentification à deux facteurs (2FA) par SMS pour les utilisateurs non abonnés à Twitter Blue à partir du 20 mars 2023, en réponse à l'abus de la 2FA par SMS par des fraudeurs, des questions se posent sur les autres inconvénients potentiels de l'authentification par SMS.

Malgré sa large adoption par les entreprises (à facteur unique et à deux facteurs) pour offrir une meilleure protection des comptes à leurs utilisateurs, cette méthode d'authentification présente souvent des inconvénients qui vont au-delà des problèmes de sécurité.

Dans cet article, nous allons explorer ces inconvénients, notamment la fraude et les défis liés aux coûts, à la fiabilité et à l'expérience utilisateur. Pour y remédier, les Passkeys peuvent être utilisés comme la nouvelle méthode d'authentification standard sans mot de passe, supérieure à bien des égards aux méthodes d'authentification par SMS.

Face au potentiel des Passkeys comme solution de remplacement, chez Corbado, nous proposons une solution de Passkeys prête à l'emploi pour rendre Internet plus sûr et faire économiser à votre entreprise d'importantes dépenses liées aux SMS, et ce, dès maintenant.

Avant d'explorer les inconvénients de l'authentification par SMS, il est essentiel de comprendre son concept fondamental. L'authentification par SMS comprend deux types principaux :

• L'authentification à facteur unique
• L'authentification à deux facteurs

Le premier inclut des méthodes comme les codes à usage unique (OTP) envoyés par SMS, offrant une alternative de connexion sans mot de passe aux mots de passe traditionnels. Le second emploie un processus en deux étapes pour assurer une protection 2FA. Les utilisateurs s'inscrivent/se connectent d'abord avec leur nom d'utilisateur/e-mail et leur mot de passe, puis confirment leur inscription/connexion via un code à usage unique envoyé sur leur téléphone mobile par SMS.

Examinons plus en détail les inconvénients de l'authentification par SMS en mettant en lumière les différentes formes de fraude associées à cette méthode de connexion et en découvrant les défis liés à la fiabilité, à l'expérience utilisateur et aux coûts financiers engagés pour la mise en œuvre, l'exploitation et la maintenance de cette technologie d'authentification.

Les SMS ont été inventés il y a plus de 20 ans et n'ont jamais bénéficié de mise à jour de sécurité majeure depuis. C'est pourquoi la fraude par SMS est un problème énorme.

Dans l'authentification par SMS, lorsqu'un utilisateur demande un code ou un lien d'authentification par SMS, le fournisseur de services envoie le code ou le lien au numéro de téléphone mobile de l'utilisateur via un message SMS. Le SMS traffic pumping tire parti de ce processus en envoyant un volume massif de messages SMS non sollicités et souvent frauduleux à un numéro de téléphone spécifique.

Les fraudeurs des schémas de SMS traffic pumping exploitent les accords de partage des revenus entre les opérateurs de réseaux mobiles (MNO) et les fournisseurs de services de messagerie. Leur but est de gonfler le trafic SMS et de générer des revenus plus élevés pour eux-mêmes, car les fournisseurs de services de messagerie paient aux MNO des frais pour chaque message livré. Comme l'a souligné un employé actuel de Stytch sur Hacker News, les MNO collaborent ici avec le pirate en partageant les revenus. Bien que des mesures préventives spécifiques telles que la désactivation de la réception de SMS pour certains numéros de téléphone (autorisations géographiques), la mise en place de limites de débit et la détection de bots puissent aider à atténuer le SMS traffic pumping, il est presque impossible d'éliminer complètement les abus en raison de la conception du processus d'envoi.

En conséquence, les entreprises et les fournisseurs de services font souvent face à des dépenses importantes dues à l'augmentation des messages entrants. Commsrisk affirme que Twitter à lui seul a perdu la somme incroyable de 60 millions de dollars par an à cause du SMS traffic pumping. De plus, les utilisateurs légitimes peuvent subir des retards dans la réception de leurs codes ou liens d'authentification.

Dans ce type de fraude, les fraudeurs exploitent les vulnérabilités de l'infrastructure des MNO pour transférer le numéro de téléphone mobile d'une victime vers une nouvelle carte SIM. Ce faisant, les attaquants prennent le contrôle du numéro de téléphone de la victime, ce qui leur permet d'intercepter les messages SMS entrants, y compris les codes ou les liens d'authentification. Une fois qu'ils contrôlent le numéro de téléphone d'un utilisateur, ils peuvent contourner le processus d'authentification et obtenir un accès non autorisé à ses comptes sur diverses plateformes. Le SIM swapping est difficile à détecter. Les attaquants utilisent souvent l'ingénierie sociale pour tromper le support client des MNO, leur permettant de transférer le numéro de la victime vers une nouvelle carte SIM. Comme les entreprises dont les utilisateurs sont concernés ne sont souvent pas au courant, les attaques de SIM swap entraînent généralement des violations de données, des pertes financières et des dommages à la réputation de l'entreprise.

Les SMS coûtent cher et aucune tendance réelle ne laisse entrevoir une baisse de leurs prix.

Pour l'authentification par SMS, il existe deux options de mise en œuvre. Vous pouvez soit construire et maintenir un système en interne, soit utiliser une solution d'authentification externe. Bien qu'une approche mixte soit possible, la seconde option est recommandée pour sa simplicité. Selon une enquête de Messente, créer en interne une solution de 2FA par SMS uniquement peut facilement coûter un montant à cinq chiffres. C'est pourquoi opter pour une solution externe, généralement moins chère, est souvent une meilleure idée.

Comme l'envoi de messages d'authentification par SMS aux utilisateurs est très complexe, presque toutes les entreprises font appel à un fournisseur expérimenté. Leur service entraîne des coûts de transaction qui varient en fonction du fournisseur choisi. Ces coûts dépendent de facteurs tels que :

• le nombre de SMS envoyés
• les pays de destination vers lesquels les SMS sont envoyés
• les fonctionnalités supplémentaires.

Certains fournisseurs peuvent facturer des frais supplémentaires pour une authentification réussie par SMS, bien que cela soit souvent inclus dans le prix global. Selon miniOrange, les prix des transactions varient généralement de 0,01 à 0,20 USD par SMS, les services SMS de haute qualité directement liés aux principaux fournisseurs commençant à environ 0,06 USD. Étant donné que les utilisateurs de produits numériques sont souvent situés dans différents pays, l'achat de divers forfaits SMS augmentera les dépenses. Selon nos informations, cela montre à quelle vitesse les coûts d'envoi des messages d'authentification peuvent grimper en flèche et pourquoi l'authentification par SMS coûte à un leader du e-commerce 12 millions de dollars par an. Évidemment, vous pouvez proposer l'authentification par SMS uniquement pour les pays cibles clés et ainsi économiser de l'argent, mais ce n'est qu'une goutte d'eau dans l'océan et cela aurait également un impact négatif sur l'expérience utilisateur pour certains utilisateurs.

La majorité des coûts de maintenance sont généralement couverts par les prix des transactions. Ceux-ci incluent les dépenses liées à la gestion de grands volumes de SMS par les fournisseurs, à la facilitation de la livraison internationale de SMS à divers MNO, à la mise en œuvre de mesures de sécurité essentielles et à la garantie de la conformité aux réglementations. Cependant, des dépenses supplémentaires peuvent survenir pour l'entreprise, telles que la gestion des relations avec le fournisseur de SMS, la fourniture d'un support aux utilisateurs et l'allocation de ressources pour faire face aux temps d'arrêt et aux problèmes techniques.

Dans le contexte de l'authentification par SMS, cela fait référence à la livraison constante et ponctuelle du SMS et à l'accessibilité ininterrompue du système d'authentification par le code d'authentification envoyé. En fonction de l'infrastructure locale, les retards de livraison des messages, la congestion du réseau et les temps d'arrêt potentiels du système peuvent entraver la réception rapide des codes d'authentification. Cela peut causer de la frustration chez l'utilisateur et gêner le processus d'authentification.

Un aspect clé à considérer est la convivialité variable selon les plateformes. L'authentification par SMS fonctionne parfaitement sur les appareils mobiles grâce à la fonction de remplissage automatique qui facilite la saisie du code d'authentification. Inversement, sur les ordinateurs de bureau, vous devez utiliser un appareil supplémentaire, votre téléphone mobile, pour saisir manuellement le code d'authentification, ce qui se traduit par une expérience moins intuitive et pratique. Comme mentionné précédemment, l'expérience utilisateur souffre également lorsque des attaques frauduleuses se produisent, ou que des problèmes surviennent dans la livraison des SMS et la récupération du code d'authentification.

Jusqu'à présent, les Passkeys ont principalement été perçus comme l'alternative sans mot de passe aux seuls mots de passe.

De plus, comme les Passkeys offrent une fonctionnalité 2FA intégrée, ils servent d'alternative aux mots de passe et à tout type d'authentification par SMS. Cela améliore la sécurité et évite les défis d'expérience utilisateur posés par les codes à usage unique basés sur les SMS. En remplaçant les messages d'authentification, les Passkeys apportent des avantages substantiels qui éliminent efficacement les inconvénients de l'authentification par SMS.

Contrairement à l'authentification par SMS, qui peut être sujette à l'interception et à la manipulation, les Passkeys offrent une protection robuste contre toutes les formes d'attaques frauduleuses grâce à l'utilisation d'une infrastructure à clé publique. Cela garantit que même en cas de violation d'un serveur, les comptes des utilisateurs restent protégés car la clé privée essentielle reste en sécurité dans l'appareil de l'utilisateur, intégrée au système d'exploitation. De plus, le lien des Passkeys avec le service en ligne spécifique pour lequel ils ont été créés est une contre-mesure contre les tentatives de phishing, faisant des Passkeys la méthode d'authentification la plus sûre actuellement disponible.

Comme pour l'authentification par SMS, des coûts sont associés à la mise en œuvre des Passkeys. Bien qu'il soit possible de gérer la mise en œuvre en interne, se concentrer sur une authentification sécurisée conduit souvent à préférer des spécialistes. Leur expertise représente une fraction des coûts internes et s'aligne sur ce que les fournisseurs d'authentification par SMS facturent pour la mise en œuvre. D'un point de vue des coûts, l'avantage significatif d'investir dans les Passkeys est de supprimer le besoin d'envoyer des SMS pour la connexion et l'inscription. Au lieu de cela, les utilisateurs peuvent se connecter en toute sécurité en utilisant Face ID ou Touch ID. Cela se traduit non seulement par des économies potentielles de millions de dollars en coûts d'authentification chaque année (en particulier pour les grandes entreprises orientées grand public), mais aussi par l'élimination de tous les défis qui peuvent survenir lors de l'envoi et de la réception de SMS.

Pour vérifier les numéros de téléphone des utilisateurs, souvent requis à des fins de marketing ou d'autres communications, l'envoi d'un SMS initial avec un code à usage unique reste une option. Cela permet aux SMS de fonctionner parallèlement aux Passkeys. De plus, les SMS peuvent servir de méthode de secours. La principale distinction entre ces deux scénarios et l'authentification traditionnelle par SMS est que les SMS ne sont envoyés qu'occasionnellement plutôt qu'à chaque tentative de connexion.

L'adoption de la biométrie (par exemple, Face ID, Touch ID, Windows Hello) pour déverrouiller les téléphones et les ordinateurs de bureau est rapidement devenue monnaie courante parmi les utilisateurs. Les Passkeys étendent désormais cette expérience familière au déverrouillage des comptes. Étant donné que la plupart des téléphones mobiles et des ordinateurs de bureau sont déjà compatibles avec les Passkeys, ils offrent un remplacement direct de l'authentification par SMS. Avec les scans locaux d'empreintes digitales ou faciaux de l'appareil, l'exigence d'un appareil secondaire, comme c'est encore le cas pour l'authentification par SMS sur ordinateur portable, est éliminée. Cette amélioration substantielle simplifie l'expérience utilisateur et rend la connexion au compte sans effort. Une autre caractéristique unique des Passkeys est la Conditional UI. Cette fonctionnalité améliore la commodité de l'utilisateur en suggérant et en pré-remplissant automatiquement les Passkeys stockés lorsque les utilisateurs interagissent avec le champ de saisie du nom d'utilisateur. Cela élimine le besoin de rechercher manuellement les identifiants, y compris les noms d'utilisateur, car ceux-ci sont déjà stockés en toute sécurité dans l'appareil ou le navigateur et sont automatiquement pré-remplis.

La transition vers l'authentification par Passkeys ne se résume pas seulement à une expérience de connexion plus fluide et à une meilleure MFA (résistante au phishing). Les Passkeys peuvent également permettre d'économiser d'importants coûts d'OTP par SMS si deux conditions sont remplies :

• un taux d'adoption des Passkeys élevé
• un taux de connexion par Passkey élevé

La technologie de Passkeys et la conception intelligente de Corbado se concentrent sur l'optimisation de ces deux aspects pour offrir des économies importantes sur les coûts des SMS. Nous réalisons jusqu'à 90 % d'économies avec des taux d'adoption des Passkeys 10 fois plus élevés que les solutions traditionnelles faites maison. Voyons comment.

La première étape consiste à convertir les utilisateurs existants en utilisateurs de Passkeys en leur permettant de créer des Passkeys dans les paramètres de leur compte. Cependant, cela ne suffit pas à augmenter les taux d'adoption des Passkeys parmi la base d'utilisateurs existante. Corbado propose plusieurs solutions :

• Inscription automatique progressive : Notre moteur d'intelligence pour Passkeys est conçu pour optimiser le processus d'enrôlement aux Passkeys, guidant les utilisateurs vers l'adoption des Passkeys de manière fluide et sans friction chaque fois que possible (par exemple, lors de la connexion avec des méthodes d'authentification traditionnelles). Cette approche proactive garantit que les utilisateurs ne sont ni submergés ni confus, réduisant ainsi les taux d'abandon et augmentant l'adoption globale.
• Création automatique de Passkeys locaux : Si les clients se connectent via l'authentification inter-appareils, on leur propose de créer un Passkey local dans l'environnement qu'ils utilisent actuellement, ce qui augmente l'adoption des Passkeys sur tous leurs appareils. Dans les situations où l'appareil de bureau actuel n'offre pas d'authentificateur de plateforme pour créer un Passkey, une stratégie axée sur le mobile peut être employée pour créer un Passkey sur un téléphone mobile.
• Mise à niveau automatique vers les Passkeys : Le moteur de décision de Corbado facilite une mise à niveau automatique vers les Passkeys pour les utilisateurs, augmentant considérablement les taux d'adoption sans nécessiter de participation active de l'utilisateur. Cette transition transparente est alimentée par notre moteur de décision d'intelligence pour Passkeys, qui fonctionne automatiquement sur les appareils iOS 18 et versions ultérieures (d'autres suivront).

Nous nous assurons que davantage d'utilisateurs adoptent les Passkeys sans effort, atteignant des taux d'adoption 10 fois plus élevés que les implémentations de Passkeys faites maison.

La deuxième étape importante consiste à déclencher les connexions par Passkey chaque fois que possible et à encourager activement la réutilisation des Passkeys existants.

• Approche 'Identifier-First' : Commencer le processus de connexion en demandant uniquement un identifiant (par exemple, une adresse e-mail), puis déterminer automatiquement si une connexion par Passkey est possible, simplifie l'expérience utilisateur et encourage une plus grande utilisation des Passkeys. Cette méthode réduit les étapes nécessaires à la connexion des utilisateurs, rendant le processus plus rapide et plus intuitif que de proposer un bouton distinct "Se connecter avec un Passkey", que les consommateurs ignorent fréquemment.
• Authentification inter-appareils et connexion Passkey en un clic : Corbado bascule automatiquement vers l'authentification inter-appareils WebAuthn lorsqu'aucun Passkey local n'est disponible. De plus, une fois qu'une connexion par Passkey a été enregistrée sur un appareil, le champ d'identifiant de l'utilisateur est automatiquement converti en un bouton de connexion Passkey en un clic, rendant la connexion encore plus fluide.

L'approche innovante de Corbado pour maximiser les taux d'adoption et de connexion des Passkeys offre des avantages significatifs par rapport aux approches maison. En tirant parti de cette conception intelligente, nous nous assurons que les utilisateurs non seulement intègrent mais adoptent activement les Passkeys, ce qui se traduit par des taux d'adoption et de connexion jusqu'à 10 fois plus élevés. Ce changement améliore non seulement la sécurité et l'expérience utilisateur, mais génère également des économies de coûts substantielles, notamment en réduisant les dépenses liées aux OTP par SMS jusqu'à 90 %. À l'ère des Passkeys qui s'annonce, où une authentification efficace et sécurisée est primordiale, Corbado se distingue comme un leader en matière d'adoption et de rentabilité.

Pour résumer, les Passkeys offrent une solution pratique pour surmonter les inconvénients de l'authentification par SMS. Ils offrent une sécurité robuste, un bon rapport coût-efficacité et une excellente expérience utilisateur, ce qui en fait un remplacement intelligent. Avec la technologie biométrique et des fonctionnalités conviviales comme la Conditional UI, les Passkeys rendent la sécurité transparente et l'expérience utilisateur fluide sur toutes les plateformes. Pour les entreprises qui cherchent à améliorer leur jeu d'authentification, la solution de Passkeys de Corbado est un moyen simple de renforcer la sécurité, de réduire les coûts et de laisser derrière soi les défis de l'authentification par SMS. Contactez-nous pour une solution d'authentification par Passkey sur mesure pour votre configuration OTP / 2FA par SMS.