Un rapport récent a révélé qu’environ un million de codes d’authentification à deux facteurs (2FA) envoyés par SMS ont été interceptés. Un dénonciateur de l’industrie technologique a signalé que ces codes de sécurité ont transité par une obscure entreprise étrangère liée à des agences de renseignement gouvernementales et à des sociétés engagées dans la surveillance numérique.
Les codes SMS 2FA
Les codes d’authentification à deux facteurs sont conçus pour protéger vos comptes, même si vos identifiants de connexion ont été compromis par des hackers. Si vous avez activé le 2FA, vous serez invité à entrer un code à 6 chiffres pour prouver votre identité après la confirmation de votre mot de passe. Ce code peut être fourni par une application d’authentification avec un code rotatif associé à votre compte, ou le site ou l’application peut vous l’envoyer par SMS.
Cependant, cette dernière option présente un problème : les communications par SMS ne sont pas chiffrées, ce qui rend ces codes vulnérables à l’interception dans le réseau de télécommunications.
Un million de codes interceptés
Un dénonciateur est venu rapporter un programme d’interception, fournissant des preuves à Bloomberg. Un lot d’environ un million de messages contenant des codes d’authentification à deux facteurs envoyés en juin 2023 a été intercepté. Chaque message a transité par une société suisse nommée Fink Telecom Services. Cette entreprise et son fondateur ont travaillé avec des agences d’espionnage gouvernementales et des entrepreneurs de l’industrie de surveillance pour surveiller les téléphones mobiles et suivre la localisation des utilisateurs.
Les expéditeurs de ces codes incluent Google, Meta, Amazon.com, plusieurs banques européennes, ainsi que des applications populaires comme Tinder et Snapchat, le bureau d’échange de cryptomonnaies Binance et des plateformes de messagerie chiffrées telles que Signal et WhatsApp. Les destinataires se trouvaient dans plus de 100 pays à travers cinq continents.
Un hacker, y compris une agence gouvernementale, ayant accès à votre nom d’utilisateur et à votre mot de passe pourrait ainsi se connecter à vos comptes, même lorsque le 2FA est activé.
Le directeur financier de Fink a affirmé que la société fournissait simplement des “capacités de routage” et “ne travaillait plus dans la surveillance.” Cependant, des experts en sécurité ont lié Fink à des cas où des codes 2FA envoyés par SMS ont été utilisés pour pénétrer dans des comptes.
Les recommandations
C’est un nouvel exemple qui montre l’importance de privilégier l’utilisation d’une application d’authentification plutôt que des messages texte pour vos codes 2FA. Les mots de passe d’accès, qui utilisent Face ID ou Touch ID pour confirmer localement votre identité, représentent une option encore plus sécurisée.
Notez qu’Apple utilise son propre système 2FA dans lequel les codes sont envoyés à vos autres appareils Apple, ce qui est une méthode sûre.
