26 millions de SMS exposés : l'authentification à double facteur remise en cause

Bastien Contreras Contributeur
16 novembre 2018 à 16h16
0
Malware

Une faille de sécurité a été révélée dans une base de données renfermant des dizaines de millions de SMS non cryptés. Des pirates ont donc très bien pu l'exploiter pour, par exemple, passer outre le système d'authentification à deux facteurs.

Le serveur en cause appartient à la société Vovox, située à San Diego, en Californie. Après avoir été alertée par TechCrunch, l'entreprise a déconnecté la base de données, mais le mal était peut-être déjà fait. Et les répercussions ont pu aller au-delà de la découverte de votre heure de rendez-vous chez le coiffeur.

Des millions de SMS contenant des données sensibles

De nos jours, nombreuses sont les entreprises à recourir au SMS pour des raisons de sécurité. Par exemple, elles peuvent vous envoyer une clé pour réinitialiser votre mot de passe ou vous demander une authentification à deux facteurs : une partie via votre mot de passe, l'autre via un code reçu par texto. Et c'est dans ce type de situation qu'intervient un acteur comme Vovox. Il joue alors le rôle d'intermédiaire entre l'entreprise commanditaire et l'opérateur mobile, pour que le message soit envoyé.

En l'occurrence, le problème de la base de données est qu'elle était aisément accessible à tout utilisateur un peu débrouillard, d'autant qu'aucun mot de passe ne protégeait le serveur. Au moment de sa fermeture, elle contenait pas moins de 26 millions de SMS consultables par n'importe qui, avec pour chacun le texte, le destinataire, son numéro, ou encore le client expéditeur. Dans le lot, TechCrunch a notamment repéré un mot de passe Badoo envoyé tel quel, des messages d'authentification à double facteur de Google, des rappels concernant des rendez-vous médicaux...

Les failles de l'authentification à deux facteurs

L'authentification à deux facteurs est censée fortement diminuer les risques de se faire pirater son compte. Mais avec une telle faille de sécurité, il est permis de s'interroger. Car, dans ce cas, un utilisateur malveillant, ayant connaissance de votre mot de passe, aurait très bien pu intercepter le SMS vous étant destiné, pour accéder à votre compte bancaire, par exemple.

C'est pourquoi certaines entreprises ont désormais recours à d'autres solutions d'authentification, comme Google Authenticator ou 1Password. Il s'agit d'applications autonomes qui ne demandent aucune information sensible pour fonctionner. De plus, elles sont utilisables même sans capter de réseau mobile.

Ce n'est donc peut-être pas la fin de la méthode d'authentification à deux facteurs, mais elle gagnerait sans doute à s'éloigner du SMS.
1 réponses
0 utilisateurs
Suivre la discussion

Les actualités récentes les plus commentées

Netflix menace les partages de compte entre amis
La filière éolienne française se porte bien et continue de créer des emplois
Une nouvelle taxe appliquée sur les billets d'avion dès 2020, pour financer les transports propres
Tesla apporte des améliorations à sa Model 3 (et des hausses de prix)
Vers des batteries lithium-CO2 rechargeables ?
L'armée américaine n'utilisera plus d'antiques disquettes pour coordonner ses frappes nucléaires
19 heures et 16 minutes : Qantas s'offre le record du plus long vol du transport aérien
La bande annonce de Star Wars, l'ascension de Skywalker, est là !
Du code malveillant utilise un format audio pour éviter les antivirus

Notre charte communautaire

1. Participez aux discussions

Nous encourageons chacun à exprimer ses idées sur les sujets qui l'intéressent, et à faire profiter l'ensemble de la communauté de son expertise sur un sujet particulier.

2. Partagez vos connaissances

Que vous soyez expert ou amateur passionné, partagez vos connaissances aux autres membres de la communauté pour enrichir le niveau d'expertise des articles.

3. Échangez vos idées

Donnez votre opinion en étayant votre propos et soyez ouverts aux idées des autres membres de la communauté, même si elles sont radicalement différentes des vôtres.

4. Faites preuve de tolérance

Qu'il s'agisse de rédacteurs professionnels ou amateurs, de lecteurs experts ou passionnés, vous devez faire preuve de tolérance et vous placer dans une démarche d'entraide.

5. Restez courtois

Particulièrement lorsque vous exprimez votre désaccord, critiquez les idées, pas les personnes. Évitez à tout prix les insultes, les attaques et autres jugements sur la forme des messages.

6. Publiez des messages utiles

Chaque participation a vocation à enrichir la discussion, aussi les partages d'humeurs personnelles ne doivent pas venir gêner le fil des échanges.

7. Soignez votre écriture

Utilisez la ponctuation, prohibez le langage SMS et les majuscules, relisez-vous afin de corriger un peu les fautes de frappe et de français : trop de fautes n’engagent ni à lire le message, ni à répondre à une question.

8. Respectez le cadre légal

Ne publiez pas de contenus irrespectueux, racistes, homophobes, obscènes ou faisant l'apologie de courants radicaux, qu'ils soient politiques ou religieux. N'utilisez pas plusieurs comptes utilisateurs.

9. Ne faites pas de promotion

Ne profitez pas d'une discussion pour faire la publicité d'un produit, d'un service ou même de votre site web personnel.

10. Ne plagiez pas

Exprimez uniquement vos opinions ou partagez des idées en citant vos sources.

scroll top