Une faille de sécurité a été révélée dans une base de données renfermant des dizaines de millions de SMS non cryptés. Des pirates ont donc très bien pu l'exploiter pour, par exemple, passer outre le système d'authentification à deux facteurs.
Le serveur en cause appartient à la société Vovox, située à San Diego, en Californie. Après avoir été alertée par TechCrunch, l'entreprise a déconnecté la base de données, mais le mal était peut-être déjà fait. Et les répercussions ont pu aller au-delà de la découverte de votre heure de rendez-vous chez le coiffeur.
Des millions de SMS contenant des données sensibles
De nos jours, nombreuses sont les entreprises à recourir au SMS pour des raisons de sécurité. Par exemple, elles peuvent vous envoyer une clé pour réinitialiser votre mot de passe ou vous demander une authentification à deux facteurs : une partie via votre mot de passe, l'autre via un code reçu par texto. Et c'est dans ce type de situation qu'intervient un acteur comme Vovox. Il joue alors le rôle d'intermédiaire entre l'entreprise commanditaire et l'opérateur mobile, pour que le message soit envoyé.En l'occurrence, le problème de la base de données est qu'elle était aisément accessible à tout utilisateur un peu débrouillard, d'autant qu'aucun mot de passe ne protégeait le serveur. Au moment de sa fermeture, elle contenait pas moins de 26 millions de SMS consultables par n'importe qui, avec pour chacun le texte, le destinataire, son numéro, ou encore le client expéditeur. Dans le lot, TechCrunch a notamment repéré un mot de passe Badoo envoyé tel quel, des messages d'authentification à double facteur de Google, des rappels concernant des rendez-vous médicaux...
Les failles de l'authentification à deux facteurs
L'authentification à deux facteurs est censée fortement diminuer les risques de se faire pirater son compte. Mais avec une telle faille de sécurité, il est permis de s'interroger. Car, dans ce cas, un utilisateur malveillant, ayant connaissance de votre mot de passe, aurait très bien pu intercepter le SMS vous étant destiné, pour accéder à votre compte bancaire, par exemple.C'est pourquoi certaines entreprises ont désormais recours à d'autres solutions d'authentification, comme Google Authenticator ou 1Password. Il s'agit d'applications autonomes qui ne demandent aucune information sensible pour fonctionner. De plus, elles sont utilisables même sans capter de réseau mobile.
Ce n'est donc peut-être pas la fin de la méthode d'authentification à deux facteurs, mais elle gagnerait sans doute à s'éloigner du SMS.