Anciens numéros de téléphone dans la 2FA : la faille que personne ne remarque

De nombreux comptes PME sont encore liés aux numéros d'anciens employés ou à un numéro que vous avez résilié il y a trois ans. Voici comment tout remettre en ordre en une après-midi.

La double authentification (2FA) est désormais partout : auprès de votre banque, de votre logiciel de comptabilité, Microsoft 365, votre plateforme e-commerce. Très bien. Mais il existe une porte dérobée qui reste ouverte depuis des années dans beaucoup de PME : le numéro de téléphone que vous avez un jour renseigné comme numéro de secours ou pour recevoir des codes par SMS. Et ce numéro n'est souvent plus le vôtre — ou plus celui de la bonne personne.

Pourquoi c'est un problème

Un numéro de téléphone résilié ne disparaît pas pour autant. Après un délai d'attente (généralement 3 à 6 mois chez les opérateurs), il retourne dans le pool et est réattribué à quelqu'un d'autre. Ce nouveau titulaire reçoit alors vos SMS — y compris les codes de connexion et les liens de réinitialisation de mot de passe.

Voici les situations que nous rencontrons fréquemment chez nos clients PME :

• Le numéro de l'ancien comptable est encore enregistré dans le logiciel comptable comme numéro d'urgence.
• Un téléphone professionnel a été restitué, le numéro est passé en usage personnel par le collaborateur, qui a depuis quitté l'entreprise.
• Le dirigeant a utilisé un second numéro personnel « juste pour aller vite » lors d'une réinitialisation par SMS, et l'a oublié depuis.
• Le numéro général de l'accueil est enregistré partout comme numéro de secours, alors que l'appareil circule de main en main.

Conséquence : quelqu'un avec le bon timing et le bon numéro peut entrer via « mot de passe oublié » + code SMS. Aucune compétence de hacker nécessaire.

Le deuxième problème : le SMS reste la 2FA la plus faible

Au-delà des anciens numéros, la 2FA par SMS est en elle-même la méthode la moins sécurisée. Le SIM-swapping (où quelqu'un se fait passer pour vous auprès de votre opérateur pour obtenir une nouvelle SIM) est suffisamment fréquent pour être pris au sérieux. Une application d'authentification (Microsoft Authenticator, Google Authenticator, 1Password) ou une clé matérielle est toujours préférable.

Pourtant, le SMS reste souvent la seule option — auprès des banques, de certains services publics, ou de portails plus anciens. Il est alors d'autant plus important que le numéro associé soit bien celui de la bonne personne.

Le grand ménage : comment s'y prendre en une après-midi

1. Dressez la liste des comptes avec 2FA

Pas uniquement Microsoft 365 ou Google Workspace. Pensez également à :

• Logiciel de comptabilité (Exact, Moneybird, Twinfield)
• Portails bancaires et environnements de cartes de crédit
• Boutique en ligne / CMS (Shopify, WooCommerce, WordPress)
• Bureau d'enregistrement de domaines et hébergeur
• E-mail marketing (Mailchimp, Spotler)
• Stockage cloud (Dropbox, OneDrive, Google Drive)
• CRM et logiciels de gestion de projet
• Comptes de réseaux sociaux de l'entreprise

Un gestionnaire de mots de passe vous donne souvent un aperçu complet en un seul clic.

2. Connectez-vous et vérifiez la section « sécurité » de chaque compte

Vous cherchez trois choses :

• Quels numéros de téléphone sont enregistrés comme méthode 2FA ou option de récupération ?
• Quelles adresses e-mail sont enregistrées comme option de récupération ?
• Quels codes de secours ont été générés (et sont-ils encore conservés en lieu sûr) ?

3. Supprimez tout ce que vous ne reconnaissez pas

Un doute sur un numéro ? Supprimez-le. S'il était important, vous le rajouterez. Mieux vaut un petit détour qu'une ligne inconnue laissée ouverte.

4. Remplacez le SMS par une application d'authentification dès que possible

Pour la quasi-totalité des grands services, vous pouvez désactiver la méthode SMS une fois qu'une application d'authentification ou une clé matérielle est active. Faites-le vraiment — sinon le SMS reste un recours qui compromet toute votre sécurité.

5. Documentez qui utilise quelle méthode

Un simple tableau dans un tableur (ou mieux, une note dans votre gestionnaire de mots de passe) suffit : pour chaque compte, notez le responsable, la méthode 2FA, et le numéro ou l'adresse e-mail servant de sauvegarde. Lors du départ d'un collaborateur, vous consultez cette liste — tout comme vous effectuez un transfert de coffre-fort.

Que faire à chaque changement de personnel

Intégrez « vérifier les numéros 2FA » comme étape systématique de votre checklist d'offboarding, au même titre que la révocation des accès et le transfert des mots de passe. Cela prend cinq minutes si c'est fait de manière structurée, et des heures si vous devez tout reconstituer après un incident.

Conseil : faites-le aussi lors d'un changement de rôle en interne. Un collaborateur qui passe du service financier au marketing ne doit plus figurer comme numéro de récupération pour le portail bancaire.

La revue annuelle

Bloquez une demi-journée dans l'agenda une fois par an (par exemple lors du grand ménage de printemps ou en janvier) pour passer en revue tous les paramètres 2FA. Combinez-la avec votre audit des accès et votre nettoyage des comptes orphelins. Vous éliminez ainsi trois risques d'un seul coup.

Besoin d'aide ?

Vous avez du mal à identifier tous les comptes concernés, ou vous n'êtes pas sûr que votre configuration 2FA soit suffisamment solide ? Nous accompagnons régulièrement les PME sur ce sujet grâce à notre service de mise en œuvre de la 2FA et d'un audit des accès plus complet. Pas de longs projets — en général quelques heures suffisent pour y voir clair.