Un nouvel incident de sécurité remet en question la fiabilité des codes de double authentification envoyés par SMS.
Selon un rapport, environ un million de codes destinés à garantir la sécurité des utilisateurs ont été interceptés, suscitant l’inquiétude dans le secteur de la technologie.
La double authentification (2FA) par SMS vise à ajouter une couche de sécurité supplémentaire lorsque vos identifiants ont été compromis. Mais les messages non chiffrés rendent ces codes vulnérables aux interceptions malveillantes.
Une faille massive
Un lanceur d’alerte a alerté avec des preuves à l’appui, qu’environ un million de messages contenant des codes 2FA ont transité par une entreprise suisse nommée Fink Telecom Services, aux accointances douteuses avec les gouvernements et l’industrie de la surveillance. Parmi les expéditeurs, on retrouve des géants comme Google, Meta, et Amazon, mais aussi des banques européennes et des applications populaires.
Le CFO de Fink affirme que la société ne fait que fournir des « capacités de routage » et qu’elle ne travaille plus dans la surveillance. Cependant, des experts en sécurité ont trouvé des liens entre la société et des infractions impliquant ces fameux codes 2FA.
Que faire ?
Il est vivement recommandé de privilégier les applications d’authentification plutôt que les SMS pour la réception de vos codes 2FA. On pense notamment aux systèmes propriétaires d’Apple où les codes sont envoyés directement sur les autres appareils de la marque, garantissant ainsi une sécurité accrue.
Visuel par Gilles Lambert sur Unsplash
