Le cauchemar de mon forfait téléphonique
Il y a deux ans, j’ai reçu un nouveau numéro de téléphone. Aux yeux de mes réseaux sociaux et de mes applications de covoiturage, d’Amazon, de ma banque et de l’État de Pennsylvanie, cela signifiait effectivement que j’avais perdu mon identité. Ce n’est que récemment que je suis sorti de ce bourbier induit par la technologie.
Assis à mon bureau avec un nouveau smartphone à la main, j’ai lentement tourné la tête de haut en bas tout en regardant la caméra frontale. Puis, sans rompre le contact visuel avec la lentille, j’ai soigneusement tourné la tête d’une oreille à l’autre. Le court clip était censé prouver au système de sécurité d’Instagram ce sur quoi j’insistais depuis des semaines : que je n’étais pas un imposteur, que j’étais en fait moi-même.
« Merci pour votre vidéo selfie », indique l’e-mail automatisé d’Instagram. « Nous avons reçu cette information et elle est en attente d’examen. »
Non seulement j’avais oublié mon mot de passe Instagram, mais je n’avais également plus accès à mon ancien numéro de téléphone : depuis ma dernière connexion, j’avais opté pour un forfait familial économique auprès d’un nouvel opérateur de téléphonie mobile. Pour contourner la sécurité d’authentification à deux facteurs d’Instagram – où l’application vérifie votre identité en vous envoyant un code secret par SMS – et retrouver l’accès à 12 ans de photos de chats et d’horizons urbains filtrés, j’ai dû télécharger une vidéo de mon visage.
En attendant la réponse d’Instagram, j’imaginais quelqu’un de l’équipe de sécurité de l’entreprise regardant ma vidéo de selfie, regardant les photos que j’avais publiées sur mon compte au fil des ans et confirmant mon identité une fois pour toutes. Quelques minutes plus tard – bien trop rapidement pour qu’une vraie personne soit derrière – un e-mail est arrivé. « Vos informations n’ont pas pu être confirmées », indique l’objet du message. Mes informations ? Tu veux dire, mon visage ?
« Nous n’avons pas pu confirmer votre identité à partir de la vidéo que vous avez soumise », indique le message. « Vous pouvez soumettre une nouvelle vidéo et nous la réexaminerons. »
Aussi amusant que ce jeu paraisse, j’avais autre chose à régler.
Je pensais que changer soudainement de numéro de téléphone entraînerait des maux de tête, mais je n’avais pas prévu à quel point cela deviendrait compliqué. De Lyft et Cash App à Instagram et Amazon, j’ai soudainement dû franchir des obstacles logistiques qui variaient d’une plateforme à l’autre pour vérifier mon identité physique et retrouver l’accès à ma vie numérique. Confirmer mon identité est devenu un travail à temps partiel. Et comme je l’ai appris à mes dépens, il était difficile de trouver des êtres humains capables de m’aider à régler les choses.
Si l’origine de l’authentification à deux facteurs par SMS remonte aux années 1990, ce n’est qu’au début des années 2010 qu’elle a réellement commencé à proliférer. À mesure que de plus en plus de personnes achetaient des smartphones, il semblait pratique d’utiliser le numéro de téléphone d’une personne pour confirmer son identité. Dans le même temps, la fréquence et la sophistication croissantes des violations de données et des cyberattaques ont rendu les mots de passe traditionnels presque inutiles, ce qui a incité le président de l’époque, Barack Obama, à rédiger un article d’opinion dans le Wall Street Journal en 2016, implorant les citoyens d’« aller au-delà des mots de passe » et d’adopter couches de sécurité supplémentaires pour protéger leurs données. Même en 2024, les mots de passe piratables comme « 1234 » et « mot de passe » sont restés extrêmement courants.
En obligeant les utilisateurs à franchir une étape supplémentaire (ou deux) pour se vérifier, l’authentification multifacteur offre une amélioration considérable de la sécurité par rapport au mot de passe traditionnel. Grâce au travail à distance, l’adoption de la MFA est en augmentation : 64 % des personnes utilisant Okta utilisent une forme d’authentification multifacteur, selon un rapport de 2023 de l’entreprise. Avant la pandémie, c’était 35 %.
Malgré ses avantages, le système a développé une faille sérieuse quelque part en cours de route : l’authentification à deux facteurs basée sur SMS, qui repose sur l’appel ou l’envoi de SMS sur le téléphone d’une personne pour vérifier son identité. Contrairement aux méthodes MFA qui s’appuient sur une application d’authentification, l’authentification textuelle est sans doute le moyen le moins sécurisé de vérifier l’identité d’une personne. Malheureusement, c’est aussi l’un des plus courants.
« Nous constatons souvent que les organisations moins matures ont standardisé l’utilisation de ce code basé sur SMS », a déclaré Cristian Rodriguez, directeur technique sur le terrain pour les Amériques au sein de la société de cybersécurité CrowdStrike. Apple, Google, Zoom, Slack, Dropbox, PayPal et la plupart des grandes banques et universités américaines figurent sur la longue liste de sites qui l’utilisent encore.
Contrairement à nos empreintes digitales ou à notre visage, notre numéro de téléphone ne constitue pas un élément permanent de notre identité.
« C’est aussi facile à intercepter », a déclaré Rodriguez à propos de la méthode. « L’échange de carte SIM est un moyen très simple de contourner ce problème en tant qu’attaquant. »
Lors d’une attaque par échange de carte SIM, un pirate informatique peut prendre le contrôle du numéro de téléphone d’une personne et faire des ravages dans sa vie. De leurs comptes bancaires et de réseaux sociaux aux cartes de crédit stockées dans des portefeuilles numériques comme Apple Pay, le nombre d’accès qu’un cybercriminel peut obtenir est stupéfiant. Cela montre à quel point nos vies sont étroitement liées à nos numéros de téléphone.
Récemment, des pirates informatiques alliés au gouvernement chinois ont réussi à accéder aux téléphones américains via leurs réseaux de télécommunications lors d’un piratage massif baptisé Salt Typhoon, qui, selon le gouvernement fédéral, est l’un des pires de l’histoire du pays. Alors que les origines exactes et l’impact global du Salt Typhoon font encore l’objet d’enquêtes, les experts affirment que l’infiltration de deux ans aurait pu affecter des millions d’Américains. À la suite de l’attaque, signalée pour la première fois en octobre, les autorités fédérales conseillent à la population de cesser d’utiliser l’authentification par SMS.
Contrairement à nos empreintes digitales ou à notre visage, notre numéro de téléphone ne constitue pas un élément permanent de notre identité. Il s’agit simplement d’une séquence de chiffres qui nous sont attribués au hasard par un fournisseur de téléphonie mobile lors de notre inscription. Si nous arrêtons de payer, changeons de fournisseur de téléphonie mobile ou déménageons dans un nouveau pays, le numéro ne nous appartient plus. Même une adresse e-mail – dans mon cas, un compte Gmail vieux de 20 ans qui, j’en suis sûr, continuera à recevoir des promotions marketing longtemps après ma mort – constituerait un indicateur à long terme plus fiable de qui je suis que mon téléphone. nombre. Après tout, mon adresse e-mail ne sera jamais réattribuée. C’est le mien. Mon numéro de téléphone – ainsi que les quelque 35 millions de numéros qui sont réattribués chaque année, selon la Federal Communications Commission – est une autre histoire.
Peu d’entreprises semblent reconnaître le problème : début 2023, X a décidé de mettre fin à la prise en charge de l’authentification à deux facteurs par SMS pour les utilisateurs non vérifiés, invoquant sa faiblesse. À la suite de violations majeures, des géants de la technologie comme Google et Microsoft ont également commencé à s’éloigner de l’authentification par SMS. Pourtant, X est la seule parmi les principales plateformes de médias sociaux à l’abandonner complètement – un fait que j’ai dû apprendre à mes dépens.
Dans la plupart des cas, retrouver l’accès à mes comptes était simple. Ma banque, par exemple, avait simplement besoin d’un appel téléphonique rapide à un agent du service client pour confirmer mon identité, contourner la MFA, mettre à jour mon numéro de téléphone et réinitialiser mon mot de passe.
Instagram, une entreprise nettement plus grande et dotée de plus de ressources que la petite coopérative de crédit avec laquelle je fais affaire, n’offrait pas de ligne d’assistance téléphonique pour le service client. Au lieu de cela, après environ une demi-douzaine de clics depuis l’écran de connexion d’Instagram, je me suis retrouvé dans les profondeurs d’une page FAQ du service client qui me suggérait d’envoyer un selfie vidéo. J’ai dû envoyer plusieurs vidéos dans le vide automatisé avant que l’application ne cède et me laisse revenir sur mon compte.
Mon compte Amazon, qui comprend des services comme Audible, Alexa et Whole Foods Shopping, s’est avéré une forteresse étonnamment impénétrable. Après avoir cliqué sur un labyrinthe de liens, j’ai finalement atteint une invite qui me demandait de télécharger une photo de mon passeport pour vérifier mon identité. Après n’avoir rien entendu pendant une semaine, j’ai réessayé. Quelques mois plus tard, Amazon m’a laissé revenir. (Instagram et Amazon n’ont pas répondu aux multiples demandes de commentaires.)
Grâce à l’amélioration continue du service client par l’IA et à l’utilisation croissante des chatbots, le privilège de parler avec une personne réelle est de plus en plus rare. À ce jour, je ne parviens pas à vérifier mon profil LinkedIn. Même après avoir demandé mon numéro de téléphone actuel, la plateforme de vérification d’identité utilisée par LinkedIn, Clear, continue d’envoyer un code à six chiffres à mon vieux numéro de téléphone, qu’il appelle d’une manière ou d’une autre depuis le cloud. Bien sûr, il n’y a personne à qui parler pour résoudre le problème. Tant pis.
Si notre technologie est si avancée, pourquoi est-il encore si difficile de convaincre les machines que c’est bien nous ?
Se retrouver exclu des réseaux sociaux et des boutiques en ligne est extrêmement ennuyeux. Mais ce n’est rien comparé au cauchemar que j’ai vécu lorsque j’ai essayé de m’inscrire aux allocations de chômage après avoir été licencié de mon travail de journaliste.
Le gouvernement de l’État de Pennsylvanie utilise le service ID.me, bien nommé, pour gérer la connexion à son site Web et la vérification d’identité pour des services tels que le chômage. Sur son site Web, ID.me revendique des intégrations avec 19 agences fédérales, 35 organisations liées aux soins de santé et plus de 600 boutiques en ligne dans le cadre de sa mission visant à offrir aux consommateurs « une connexion unique qui vous permet de prouver facilement que vous êtes bien ». Il n’y a qu’un seul problème : ID.me associe votre identité numérique à votre numéro de téléphone.
Lorsque j’ai essayé de me connecter au site de chômage de Pennsylvanie pour réclamer mes prestations, j’ai découvert que j’avais déjà un compte ID.me – probablement provenant d’un autre site gouvernemental auquel j’avais déjà accédé. Bien entendu, ce compte était lié à mon ancien numéro de téléphone.
Sans accès à ce numéro – et n’ayant aucune idée de ce qu’aurait pu être mon mot de passe – ma seule option était de soumettre une demande pour contourner la MFA et de retrouver l’accès à mon compte ID.me via le service client de l’entreprise.
Après avoir reçu un e-mail de confirmation automatisé de Roy, l’« agent virtuel » autoproclamé d’ID.me, ma demande a été ignorée pendant 48 heures. Après de multiples suivis et beaucoup de patience, j’ai enfin pu mettre en place une présélection téléphonique avec un véritable humain. Dix jours après ma demande initiale, j’étais au téléphone avec un agent du service client qui m’a envoyé quelques instructions par courrier électronique : remplir quelques formulaires et les renvoyer accompagnés de scans numériques de mon passeport et de ma carte de sécurité sociale. Normalement, l’envoi d’informations aussi sensibles par courrier électronique me faisait réfléchir, mais dans ce cas, l’agent du service client d’ID.me tenait mon identité et ma sécurité financière en otage, j’étais donc enclin à faire tout ce qu’il me demandait. Je ne pouvais qu’espérer que les pratiques de cybersécurité d’ID.me étaient plus robustes que son service client.
Après 30 jours de soumission et de soumission de divers documents d’identification, j’ai enfin pu me connecter à mon compte. À ce moment-là, j’avais répondu à mes besoins en matière de chômage à l’ancienne : en déposant ma demande manuellement par téléphone – un processus qui a pris près de trois heures au cours de deux appels téléphoniques atrocement fastidieux. (ID.me n’a pas répondu à une demande de commentaire.)
La technologie qui promettait autrefois de simplifier nos vies semble désormais rendre tout plus compliqué. Avant que les caisses automatiques automatiques n’entrent dans les épiceries, le processus de paiement n’était jamais interrompu par une machine confuse pensant que vous aviez oublié de scanner un article, vous obligeant à attendre l’aide d’un humain. Malgré toutes les technologies « intelligentes » innovantes qui se sont infiltrées dans les voitures modernes, on a souvent l’impression que nous sommes également à un problème logiciel d’en être exclus.
Nous sommes en 2025 – nous disposons d’une intelligence artificielle capable de nouer des relations amoureuses. Je devrais pouvoir déverrouiller mon ordinateur portable avec mon empreinte digitale ou scanner mon visage pour accéder rapidement à mes comptes d’achat en ligne. Si notre technologie est si avancée, pourquoi est-il encore si difficile de convaincre les machines que c’est bien nous ?
Vous n’êtes pas obligé de me croire sur parole. Vous pouvez demander à Keith, la personne qui avait mon nouveau numéro de téléphone avant moi. Je n’ai aucune idée de qui est Keith, mais je sais que lui aussi a du mal à revenir sur ses sites Web et ses applications parce que je continue de recevoir des SMS contenant des codes de vérification à six chiffres que je n’ai jamais demandés. Même si j’ai fini par revenir sur la plupart de mes comptes, il semble que Keith ait toujours du mal.
Keith, si vous êtes là-bas : votre ordonnance est prête à être récupérée chez Rite Aid.
Jean-Paul Titlow est une journaliste indépendante qui écrit sur la technologie, la culture numérique, les voyages et la santé mentale.
