En octobre 2023, une attaque a révélé que plus d’un million de codes d’authentification à deux facteurs (2FA) par SMS avaient été interceptés. Cette violation majeure de la sécurité soulève des questions cruciales sur la protection des données personnelles. Voici ce que vous devez savoir et comment vous protéger.
Sommaire :
Codes SMS 2FA
Les codes d’authentification à deux facteurs (2FA) sont conçus pour protéger vos comptes, même si des pirates ont accès à vos identifiants de connexion. Lorsque vous avez activé le 2FA, après la vérification de votre mot de passe, on vous demande d’entrer un code à 6 chiffres pour prouver votre identité.
Ce code peut être fourni par une application d’authentification avec un code évolutif lié à votre compte, ou le site web ou l’application peut vous l’envoyer par SMS à votre numéro de mobile enregistré.
Le problème avec cette dernière option est que les communications par SMS ne sont pas chiffrées, ce qui rend ces codes vulnérables à l’interception dans le réseau de télécommunications.
Un million de codes interceptés
Un lanceur d’alerte s’est manifesté pour signaler un programme d’interception, fournissant des données non publiques sur le réseau téléphonique à un organisme de presse prestigieux. Lors de l’enquête, il s’est avéré qu’environ un million de messages contenant des codes de 2FA ont été envoyés en juin 2023.
Chacun de ces messages a transité par un acteur obscur nommé Fink Telecom Services. Cette entreprise, ainsi que son fondateur, a collaboré avec des agences de renseignement gouvernementales et des entreprises spécialisées dans la surveillance numérique pour surveiller les téléphones mobiles et suivre la localisation des utilisateurs.
Les expéditeurs de ces codes incluent des géants comme Google, Meta, et Amazon.com, ainsi que plusieurs banques européennes, des applications populaires telles que Tinder et Snapchat, la plateforme d’échange de cryptomonnaies Binance, ainsi que des services de messagerie chiffrée tels que Signal et WhatsApp. Les destinataires se trouvaient dans plus de 100 pays à travers cinq continents.
Cela signifie qu’un pirate, ou même une agence gouvernementale, disposant de votre nom d’utilisateur et de votre mot de passe, pourrait se connecter avec succès à vos comptes, même lorsque le 2FA est activé.
Le directeur financier de Fink a prétendu que l’entreprise ne fournissait que des « capacités de routage » et qu’elle ne travaillait plus dans le domaine de la surveillance. Cependant, des experts en sécurité ont établi un lien entre Fink et des incidents dans lesquels les codes de 2FA envoyés par SMS ont été utilisés pour accéder à des comptes.
Pourquoi privilégier les applications d’authentification
Cette situation souligne l’importance d’utiliser des applications d’authentification plutôt que des SMS pour vos codes 2FA. Les applications d’authentification génèrent des codes qui restent sur votre appareil et ne sont pas facilement interceptables par des tiers.
Une solution encore plus sécurisée consiste à utiliser des clés d’accès, où votre identité est confirmée localement par des technologies telles que Face ID ou Touch ID, évitant ainsi l’envoi de mots de passe aux sites ou applications.
Il est également à noter qu’Apple utilise son propre système de 2FA, où les codes sont envoyés à vos autres appareils Apple, rendant cette méthode particulièrement sûre.
Les utilisateurs de l’authentification à deux facteurs doivent être vigilants et considérer ces nouvelles informations lors de la gestion de la sécurité de leurs comptes.
Pour plus d’informations sur les pratiques de sécurité des comptes en ligne et l’authentification à deux facteurs, consultez des sources comme Consumer Reports, qui approfondit les meilleures pratiques pour protéger vos données personnelles et professionnelles.
Qu’est-ce que les codes 2FA par SMS ?
Les codes d’authentification à deux facteurs (2FA) sont conçus pour protéger vos comptes même si vos identifiants de connexion ont été obtenus par des hackers. Après la confirmation de votre mot de passe, vous serez invité à saisir un code à 6 chiffres pour prouver votre identité.
Pourquoi les codes 2FA par SMS sont-ils vulnérables ?
Le problème avec les SMS est que les communications par SMS ne sont pas cryptées, ce qui rend ces codes vulnérables à l’interception dans le réseau de télécommunications.
Combien de codes 2FA ont été interceptés ?
Un lanceur d’alerte a rapporté un programme d’interception, révélant qu’environ un million de messages portant des codes 2FA ont été interceptés. Ces messages provenaient d’entreprises telles que Google, Meta et Amazon.
Quelle est la meilleure alternative aux SMS pour le 2FA ?
Il est recommandé d’utiliser une application d’authentification plutôt que des messages texte pour vos codes 2FA. Les clés d’accès, qui utilisent Face ID ou Touch ID pour confirmer localement votre identité, sont encore plus sûres.
Bonjour, je m’appelle Manu Dibango et j’ai 37 ans. Cadre supérieur dans l’administration, je suis passionné par la gestion et l’organisation. Bienvenue sur Camernews où je partage ma veille sur les nouvelles technologies et l’innovation.
