La double authentification permet de sécuriser ses comptes en ligne et les données personnelles qui y sont attachées. Néanmoins, l'entreprise suisse Mitto AG, qui fournit les plus grands noms de la tech comme Twitter, Google, WhatsApp ou encore Telegram, s'en sert également pour ses activités de cybersurveillance…
Après les soupçons de surveillance dévoilés en décembre par Bloomberg, Twitter annonce finalement se séparer de son fournisseur d'authentification à deux facteurs, Mitto AG.
Un service utilisé en masse par les géants de la tech
L'authentification à deux facteurs (ou A2F) est un moyen très fiable de protéger ses comptes en ligne, et tout le monde devrait utiliser ce protocole. Néanmoins, l'entreprise suisse Mitto AG – le principal fournisseur dans ce secteur – ne s'est pas tout à fait arrêtée là où elle aurait dû.
Son avantage, par rapport à ses concurrents, est qu'elle couvre plus d'une centaine de pays, notamment des zones parfois difficiles d'accès comme l'Iran ou l'Afghanistan. Pour cela, elle a conclu des accords d'interconnexion avec des opérateurs mobiles sur place.
L'A2F et la cybersurveillance ciblée
Mais ces opérateurs lui ouvrent l'accès au protocole de signalisation SS7, peu sécurisé, qui permet assez simplement de géolocaliser un utilisateur, voire même d'intercepter ses communications. En somme, Mitto AG a la capacité d'espionner des personnes ciblées, via leurs smartphones.
Et Ilja Gorelik, ancien cofondateur et directeur de l'exploitation de Mitto AG, aurait justement vendu l'accès à ces réseaux à des gouvernements et des entreprises d'espionnage entre 2017 et 2018.
Il aurait quitté l'entreprise après la publication des allégations de surveillance par Bloomberg, en décembre dernier, sans qu'on sache si cette décision était de son propre chef ou s'il a subi des pressions.
Twitter se sépare de Mitto AG
Bien qu'Ilja Gorelik ait quitté l'entreprise, les allégations de surveillance à l'encontre de la firme suisse ont inquiété le réseau social Twitter, qui a annoncé au sénateur américain Ron Wyden (Oregon) s'être finalement séparé de son partenaire Mitto AG.
Pour l'instant, Twitter n'a pas évoqué la suspension temporaire du système d'authentification à deux facteurs par SMS.
Pour rappel, notamment pour celles et ceux qui s'inquiéteraient après avoir lu ces lignes, le réseau social vous offre deux autres systèmes d'A2F : une application d'authentification et une clé de sécurité. Pour en apprendre plus à ce sujet, nous vous invitons à consulter la page d'aide de Twitter.
Source : Malwarebytes Labs, Bloomberg