26 millions de SMS exposés : l'authentification à double facteur remise en cause

Bastien Contreras
Publié le 16 novembre 2018 à 16h16
Malware

Une faille de sécurité a été révélée dans une base de données renfermant des dizaines de millions de SMS non cryptés. Des pirates ont donc très bien pu l'exploiter pour, par exemple, passer outre le système d'authentification à deux facteurs.

Le serveur en cause appartient à la société Vovox, située à San Diego, en Californie. Après avoir été alertée par TechCrunch, l'entreprise a déconnecté la base de données, mais le mal était peut-être déjà fait. Et les répercussions ont pu aller au-delà de la découverte de votre heure de rendez-vous chez le coiffeur.

Des millions de SMS contenant des données sensibles

De nos jours, nombreuses sont les entreprises à recourir au SMS pour des raisons de sécurité. Par exemple, elles peuvent vous envoyer une clé pour réinitialiser votre mot de passe ou vous demander une authentification à deux facteurs : une partie via votre mot de passe, l'autre via un code reçu par texto. Et c'est dans ce type de situation qu'intervient un acteur comme Vovox. Il joue alors le rôle d'intermédiaire entre l'entreprise commanditaire et l'opérateur mobile, pour que le message soit envoyé.

En l'occurrence, le problème de la base de données est qu'elle était aisément accessible à tout utilisateur un peu débrouillard, d'autant qu'aucun mot de passe ne protégeait le serveur. Au moment de sa fermeture, elle contenait pas moins de 26 millions de SMS consultables par n'importe qui, avec pour chacun le texte, le destinataire, son numéro, ou encore le client expéditeur. Dans le lot, TechCrunch a notamment repéré un mot de passe Badoo envoyé tel quel, des messages d'authentification à double facteur de Google, des rappels concernant des rendez-vous médicaux...

Les failles de l'authentification à deux facteurs

L'authentification à deux facteurs est censée fortement diminuer les risques de se faire pirater son compte. Mais avec une telle faille de sécurité, il est permis de s'interroger. Car, dans ce cas, un utilisateur malveillant, ayant connaissance de votre mot de passe, aurait très bien pu intercepter le SMS vous étant destiné, pour accéder à votre compte bancaire, par exemple.

C'est pourquoi certaines entreprises ont désormais recours à d'autres solutions d'authentification, comme Google Authenticator ou 1Password. Il s'agit d'applications autonomes qui ne demandent aucune information sensible pour fonctionner. De plus, elles sont utilisables même sans capter de réseau mobile.

Ce n'est donc peut-être pas la fin de la méthode d'authentification à deux facteurs, mais elle gagnerait sans doute à s'éloigner du SMS.
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (1)
Winpoks

Les clefs FIDO U2F sont parfaites pour ça. Malheureusement c’est encore très mal implanté par les divers services web. Google le permet, mais que sous les navigateurs utilisant son moteur (Chrome et Opera). Alors que le support des clefs sous Firefox est complet et que ça fonctionne bien sur d’autres sites.
Beaucoup ne permettent toujours pas d’utiliser cette solution tout simplement. Il n’est possible que d’user de son mobile ou des applications d’authentification. Qui sont moins pratiques et obligent à se coltiner un appareil mobile sur soit (je n’ai plus de smartphone), alors qu’une clef d’identification sur son porte clef ça ne pose pas de soucis de place ou d’autonomie. Et vu le prix, en avoir plusieurs n’est pas un soucis en cas de possible panne, mais pas au même endroit.

Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles