26 millions de SMS exposés : l'authentification à double facteur remise en cause

16 novembre 2018 à 16h16
0
Malware

Une faille de sécurité a été révélée dans une base de données renfermant des dizaines de millions de SMS non cryptés. Des pirates ont donc très bien pu l'exploiter pour, par exemple, passer outre le système d'authentification à deux facteurs.

Le serveur en cause appartient à la société Vovox, située à San Diego, en Californie. Après avoir été alertée par TechCrunch, l'entreprise a déconnecté la base de données, mais le mal était peut-être déjà fait. Et les répercussions ont pu aller au-delà de la découverte de votre heure de rendez-vous chez le coiffeur.

Des millions de SMS contenant des données sensibles

De nos jours, nombreuses sont les entreprises à recourir au SMS pour des raisons de sécurité. Par exemple, elles peuvent vous envoyer une clé pour réinitialiser votre mot de passe ou vous demander une authentification à deux facteurs : une partie via votre mot de passe, l'autre via un code reçu par texto. Et c'est dans ce type de situation qu'intervient un acteur comme Vovox. Il joue alors le rôle d'intermédiaire entre l'entreprise commanditaire et l'opérateur mobile, pour que le message soit envoyé.

En l'occurrence, le problème de la base de données est qu'elle était aisément accessible à tout utilisateur un peu débrouillard, d'autant qu'aucun mot de passe ne protégeait le serveur. Au moment de sa fermeture, elle contenait pas moins de 26 millions de SMS consultables par n'importe qui, avec pour chacun le texte, le destinataire, son numéro, ou encore le client expéditeur. Dans le lot, TechCrunch a notamment repéré un mot de passe Badoo envoyé tel quel, des messages d'authentification à double facteur de Google, des rappels concernant des rendez-vous médicaux...

Les failles de l'authentification à deux facteurs

L'authentification à deux facteurs est censée fortement diminuer les risques de se faire pirater son compte. Mais avec une telle faille de sécurité, il est permis de s'interroger. Car, dans ce cas, un utilisateur malveillant, ayant connaissance de votre mot de passe, aurait très bien pu intercepter le SMS vous étant destiné, pour accéder à votre compte bancaire, par exemple.

C'est pourquoi certaines entreprises ont désormais recours à d'autres solutions d'authentification, comme Google Authenticator ou 1Password. Il s'agit d'applications autonomes qui ne demandent aucune information sensible pour fonctionner. De plus, elles sont utilisables même sans capter de réseau mobile.

Ce n'est donc peut-être pas la fin de la méthode d'authentification à deux facteurs, mais elle gagnerait sans doute à s'éloigner du SMS.
1
0
Partager l'article :
Voir tous les messages sur le forum

Les actualités récentes les plus commentées

La planète est confinée ! Le ralentissement est visible depuis l'espace.
L'union sacrée des télécoms européens, qui vont partager leurs données pour lutter contre le coronavirus
Coronavirus : le traçage numérique
Confinement : la nouvelle attestation de déplacement dérogatoire est disponible en téléchargement
Elon Musk fait un don de 50 000 masques et 1200 respirateurs... pour se racheter ?
Comment choisir la bonne diagonale pour son téléviseur ?
L'empreinte carbone issue de la consommation des Français a chuté de deux-tiers avec le confinement
Xiaomi lancera la très attendue Mi TV 4S 65
Coup dur chez HPE : des SSD destinés aux entreprises pourraient se briquer après 40 000 heures
Le stockage d’énergie sous forme d’hydrogène fait un bond en avant
scroll top