Dans un monde où la sécurité numérique est primordiale, un million de codes d’authentification par SMS ont été interceptés, mettant en péril des millions d’utilisateurs. Découvrez les implications de cette faille et les mesures essentielles à adopter pour protéger vos informations personnelles face à cette menace croissante.
Codes SMS 2FA
Les codes d’authentification à deux facteurs (2FA) sont conçus pour protéger vos comptes même si des pirates ont réussi à obtenir vos identifiants de connexion. Lorsque vous activez le 2FA, après la confirmation de votre mot de passe, vous devez entrer un code à 6 chiffres pour prouver votre identité.
Ce code peut être fourni par une application d’authentification, qui génère un code dynamique lié à votre compte, ou le site web ou l’application peut vous l’envoyer par SMS sur votre numéro de mobile enregistré.
Cependant, le problème avec cette seconde option est que les communications SMS ne sont pas chiffrées, ce qui rend ces codes vulnérables à l’interception au sein du réseau des télécommunications.
Un million de codes interceptés
Un lanceur d’alerte a récemment signalé un programme d’interception, fournissant des preuves à Bloomberg à l’appui de sa déclaration.
Un lanceur d’alerte a fourni à Bloomberg Businessweek et à la salle de rédaction d’investigation Lighthouse Reports des données de réseau téléphonique non publiques concernant un lot d’environ un million de messages contenant des codes d’authentification à deux facteurs envoyés en juin 2023.
Chacun de ces messages a transité par une obscur entreprise suisse nommée Fink Telecom Services. Cette société et son fondateur ont collaboré avec des agences d’espionnage gouvernementales et des contractants de l’industrie de la surveillance pour surveiller les téléphones mobiles et suivre la localisation des utilisateurs.
Les expéditeurs incluent Google, Meta et Amazon.com, plusieurs banques européennes, des applications populaires telles que Tinder et Snapchat, la plateforme d’échange de cryptomonnaies Binance ainsi que des plateformes de chat chiffrées comme Signal et WhatsApp. Les destinataires se trouvaient dans plus de 100 pays à travers cinq continents.
Cela signifie qu’un pirate, y compris une agence gouvernementale, avec accès à votre nom d’utilisateur et à votre mot de passe, pourrait se connecter à vos comptes même lorsque le 2FA est activé.
Le directeur financier de Fink a déclaré que l’entreprise fournit simplement des « capacités de routage » et « ne travaille plus dans la surveillance ». Néanmoins, des experts en sécurité ont lié Fink à des cas où des codes 2FA envoyés par SMS ont été utilisés pour accéder à des comptes.
Avis de 9to5Mac
Ceci est un nouvel exemple de pourquoi vous devriez toujours privilégier l’utilisation d’une application d’authentification plutôt que des messages SMS pour vos codes 2FA. Les passkeys, qui utilisent la reconnaissance faciale ou l’empreinte digitale pour confirmer votre identité localement, sont encore plus sûres, car aucun mot de passe n’est envoyé au site ou à l’application.
À noter qu’Apple utilise son propre système 2FA propriétaire, où les codes sont envoyés à vos autres appareils Apple. Cette méthode est sûre.
Photo par Gilles Lambert sur Unsplash
Nous utilisons des liens d’affiliation générant des revenus. Plus.
Qu’est-ce que les codes 2FA par SMS ?
Les codes d’authentification à deux facteurs (2FA) sont conçus pour protéger vos comptes même si vos identifiants de connexion ont été obtenus par des hackers. Si vous avez activé le 2FA, après que votre mot de passe ait été confirmé, vous serez invité à entrer un code à 6 chiffres pour prouver votre identité.
Pourquoi les codes 2FA par SMS sont-ils vulnérables ?
Le problème avec l’option SMS est que les communications par SMS ne sont pas cryptées, ce qui rend ces codes vulnérables à l’interception sur le réseau des télécommunications.
Combien de codes 2FA ont été interceptés ?
Un lanceur d’alerte a rapporté qu’environ un million de codes 2FA envoyés par message texte semblent avoir été interceptés. Ces messages ont été transmis par une entreprise suisse obscur, Fink Telecom Services, liée à des agences de renseignement gouvernementales.
Quelle est la meilleure méthode pour utiliser le 2FA ?
Il est conseillé d’utiliser une application d’authentification plutôt que des messages texte pour vos codes 2FA. Les clés de passe, où Face ID ou Touch ID est utilisé pour confirmer votre identité localement, sont encore plus sûres.
