Twitter, Google, WhatsApp, Telegram... pourquoi la double authentification n'est finalement pas si sécurisée

14 février 2022 à 12h45
8
cybersécurité cyber sécurité.jpg_cropped_0x0

La double authentification permet de sécuriser ses comptes en ligne et les données personnelles qui y sont attachées. Néanmoins, l'entreprise suisse Mitto AG, qui fournit les plus grands noms de la tech comme Twitter, Google, WhatsApp ou encore Telegram, s'en sert également pour ses activités de cybersurveillance…

Après les soupçons de surveillance dévoilés en décembre par Bloomberg, Twitter annonce finalement se séparer de son fournisseur d'authentification à deux facteurs, Mitto AG.

Un service utilisé en masse par les géants de la tech

L'authentification à deux facteurs (ou A2F) est un moyen très fiable de protéger ses comptes en ligne, et tout le monde devrait utiliser ce protocole. Néanmoins, l'entreprise suisse Mitto AG – le principal fournisseur dans ce secteur – ne s'est pas tout à fait arrêtée là où elle aurait dû.

Son activité principale est l'envoi de SMS en masse, que les firmes comme Google, LinkedIn, TikTok, WhatsApp, Telegram, etc. utilisent pour les codes d'authentification, mais aussi pour des propositions commerciales et des rappels de rendez-vous.

Son avantage, par rapport à ses concurrents, est qu'elle couvre plus d'une centaine de pays, notamment des zones parfois difficiles d'accès comme l'Iran ou l'Afghanistan. Pour cela, elle a conclu des accords d'interconnexion avec des opérateurs mobiles sur place.

L'A2F et la cybersurveillance ciblée

Mais ces opérateurs lui ouvrent l'accès au protocole de signalisation SS7, peu sécurisé, qui permet assez simplement de géolocaliser un utilisateur, voire même d'intercepter ses communications. En somme, Mitto AG a la capacité d'espionner des personnes ciblées, via leurs smartphones.

Et Ilja Gorelik, ancien cofondateur et directeur de l'exploitation de Mitto AG, aurait justement vendu l'accès à ces réseaux à des gouvernements et des entreprises d'espionnage entre 2017 et 2018.

Il aurait quitté l'entreprise après la publication des allégations de surveillance par Bloomberg, en décembre dernier, sans qu'on sache si cette décision était de son propre chef ou s'il a subi des pressions.

Twitter se sépare de Mitto AG

Bien qu'Ilja Gorelik ait quitté l'entreprise, les allégations de surveillance à l'encontre de la firme suisse ont inquiété le réseau social Twitter, qui a annoncé au sénateur américain Ron Wyden (Oregon) s'être finalement séparé de son partenaire Mitto AG.

Pour l'instant, Twitter n'a pas évoqué la suspension temporaire du système d'authentification à deux facteurs par SMS.

Pour rappel, notamment pour celles et ceux qui s'inquiéteraient après avoir lu ces lignes, le réseau social vous offre deux autres systèmes d'A2F : une application d'authentification et une clé de sécurité. Pour en apprendre plus à ce sujet, nous vous invitons à consulter la page d'aide de Twitter.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
8
8
sources
Cela souligne cependant toute la difficulté de la confiance en l’opérateur assurant la certification de la connexion.
jakadi
L’entreprise s’appelle … mitto ? ça ne s’invente pas !
Akkyshan
Merci de l’avoir relevé ! Je me suis efforcée de ne jamais appuyer là dessus dans l’article mais, c’est tout de même sacrément cocasse !
Oldtimer
La marque « Suisse » n’est plus fiable !
Popoulo
@Oldtimer : De suisse il n’y a que les comptes bancaires à priori car l’activité c’est Allemagne et Serbie.<br /> L’article Bloomberg est très interessant. Gorelik semblait jouer sur tous les tableaux. Money money money.
Smax2k
Je pense qu’il faut faire attention au sim swaping, et utiliser que la A2F avec une application et non par sms.
Space_Boy
J’utilise « Authy » app pour mon 2FA de Twilio.
Maaaash32
C’est pour ça que je n’utilise jamais les SMS pour recevoir mes codes 2FA.<br /> Je les génère avec l’app « Aegis ».
Voir tous les messages sur le forum

Derniers actualités

Vous pouvez voir dans quelle station aller faire le plein ce week-end grâce à Waze
Pourquoi Amazon arrête les tests de son robot de livraison à roulettes
Pixel 7 vs iPhone 14 : on compare les derniers smartphones de Google et d'Apple
Foncez ! NordVPN vous propose une offre VPN exclusive à l'occasion du grand prix de Squeezie !
Pixel Fold : le smartphone pliant de Google arriverait finalement début 2023
Attention, Facebook s'est fait voler 1 million de mots de passe, changez le vôtre !
Transfert de données personnelles UE-USA : Joe Biden signe un décret fondateur
Apple : les nouveaux AirPods Pro 2 sont en promo en ce moment !
Mise à feu ! Ariane 6 passe une nouvelle étape de ses tests en Allemagne
Prime Day : Amazon baisse le prix des écouteurs JBL Wave 200TWS en avance
Haut de page