Un rapport récent révèle qu’environ un million de codes d’authentification à deux facteurs (2FA) envoyés par SMS ont été interceptés.
Un lanceur d’alerte de l’industrie technologique a révélé que ces codes 2FA passaient par une obscure entreprise étrangère liée à des agences de renseignement gouvernementales et à des entreprises engagées dans la surveillance numérique.
Les codes 2FA SMS
Les codes d’authentification à deux facteurs sont conçus pour protéger vos comptes, même si vos identifiants ont été obtenus par des pirates. Lorsque vous disposez de la 2FA activée, après la confirmation de votre mot de passe, vous serez demandé d’entrer un code à 6 chiffres pour prouver votre identité.
Ce code peut être fourni par une application d’authentification avec un code tournant lié à votre compte, ou bien il peut vous être envoyé par SMS sur votre numéro de mobile enregistré.
Cependant, le problème avec cette dernière option est que les communications par SMS ne sont pas chiffrées, ce qui rend ces codes vulnérables à l’interception dans le réseau des télécommunications.
Un million de codes interceptés
Un lanceur d’alerte a signalé un programme d’interception, fournissant des données de réseau téléphonique non publiques liées à un ensemble d’environ un million de messages contenant des codes 2FA envoyés en juin 2023 à Bloomberg.
Ces codes ont tous transité par une entreprise suisse peu connue appelée Fink Telecom Services, qui a collaboré avec des agences gouvernementales pour surveiller les téléphones mobiles et suivre la localisation des utilisateurs. Les expéditeurs incluent Google, Meta et Amazon, ainsi que plusieurs banques européennes, des applications populaires comme Tinder et Snapchat, et des plateformes de chat sécurisé telles que Signal et WhatsApp. Les destinataires se trouvaient dans plus de 100 pays sur cinq continents.
Cela signifie qu’un pirate, y compris une agence gouvernementale, ayant accès à votre nom d’utilisateur et à votre mot de passe, pourrait se connecter avec succès à vos comptes même lorsque la 2FA est activée.
Le directeur financier de Fink a affirmé que l’entreprise se contentait de fournir des « capacités de routage » et qu’elle ne travaille plus dans la surveillance. Toutefois, des experts en sécurité ont lié Fink à des cas où des codes 2FA envoyés par SMS ont été utilisés pour accéder à des comptes.
Notre avis
Cet incident illustre à quel point il est crucial de privilégier les applications d’authentification plutôt que les messages texte pour vos codes 2FA. Encore plus sécurisées sont les clés d’accès, où Face ID ou Touch ID est utilisé pour confirmer votre identité localement, sans mot de passe envoyé au site ou à l’application.
Il est à noter qu’Apple utilise son propre système 2FA où les codes sont envoyés à vos autres appareils Apple, une méthode qui reste sécurisée.
