Twitter, Google, WhatsApp, Telegram... pourquoi la double authentification n'est finalement pas si sécurisée

14 février 2022 à 12h45
8
cybersécurité cyber sécurité.jpg_cropped_0x0

La double authentification permet de sécuriser ses comptes en ligne et les données personnelles qui y sont attachées. Néanmoins, l'entreprise suisse Mitto AG, qui fournit les plus grands noms de la tech comme Twitter, Google, WhatsApp ou encore Telegram, s'en sert également pour ses activités de cybersurveillance…

Après les soupçons de surveillance dévoilés en décembre par Bloomberg, Twitter annonce finalement se séparer de son fournisseur d'authentification à deux facteurs, Mitto AG.

Un service utilisé en masse par les géants de la tech

L'authentification à deux facteurs (ou A2F) est un moyen très fiable de protéger ses comptes en ligne, et tout le monde devrait utiliser ce protocole. Néanmoins, l'entreprise suisse Mitto AG – le principal fournisseur dans ce secteur – ne s'est pas tout à fait arrêtée là où elle aurait dû.

Son activité principale est l'envoi de SMS en masse, que les firmes comme Google, LinkedIn, TikTok, WhatsApp, Telegram, etc. utilisent pour les codes d'authentification, mais aussi pour des propositions commerciales et des rappels de rendez-vous.

Son avantage, par rapport à ses concurrents, est qu'elle couvre plus d'une centaine de pays, notamment des zones parfois difficiles d'accès comme l'Iran ou l'Afghanistan. Pour cela, elle a conclu des accords d'interconnexion avec des opérateurs mobiles sur place.

L'A2F et la cybersurveillance ciblée

Mais ces opérateurs lui ouvrent l'accès au protocole de signalisation SS7, peu sécurisé, qui permet assez simplement de géolocaliser un utilisateur, voire même d'intercepter ses communications. En somme, Mitto AG a la capacité d'espionner des personnes ciblées, via leurs smartphones.

Et Ilja Gorelik, ancien cofondateur et directeur de l'exploitation de Mitto AG, aurait justement vendu l'accès à ces réseaux à des gouvernements et des entreprises d'espionnage entre 2017 et 2018.

Il aurait quitté l'entreprise après la publication des allégations de surveillance par Bloomberg, en décembre dernier, sans qu'on sache si cette décision était de son propre chef ou s'il a subi des pressions.

Twitter se sépare de Mitto AG

Bien qu'Ilja Gorelik ait quitté l'entreprise, les allégations de surveillance à l'encontre de la firme suisse ont inquiété le réseau social Twitter, qui a annoncé au sénateur américain Ron Wyden (Oregon) s'être finalement séparé de son partenaire Mitto AG.

Pour l'instant, Twitter n'a pas évoqué la suspension temporaire du système d'authentification à deux facteurs par SMS.

Pour rappel, notamment pour celles et ceux qui s'inquiéteraient après avoir lu ces lignes, le réseau social vous offre deux autres systèmes d'A2F : une application d'authentification et une clé de sécurité. Pour en apprendre plus à ce sujet, nous vous invitons à consulter la page d'aide de Twitter.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Haut de page

Sur le même sujet

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (8)

sources
Cela souligne cependant toute la difficulté de la confiance en l’opérateur assurant la certification de la connexion.
jakadi
L’entreprise s’appelle … mitto ? ça ne s’invente pas !
Akkyshan
Merci de l’avoir relevé ! Je me suis efforcée de ne jamais appuyer là dessus dans l’article mais, c’est tout de même sacrément cocasse !
Oldtimer
La marque « Suisse » n’est plus fiable !
Popoulo
@Oldtimer : De suisse il n’y a que les comptes bancaires à priori car l’activité c’est Allemagne et Serbie.<br /> L’article Bloomberg est très interessant. Gorelik semblait jouer sur tous les tableaux. Money money money.
Smax2k
Je pense qu’il faut faire attention au sim swaping, et utiliser que la A2F avec une application et non par sms.
Space_Boy
J’utilise « Authy » app pour mon 2FA de Twilio.
Maaaash32
C’est pour ça que je n’utilise jamais les SMS pour recevoir mes codes 2FA.<br /> Je les génère avec l’app « Aegis ».
Voir tous les messages sur le forum