Alerte lanceur d'alerte : les codes 2FA envoyés par SMS sont dangereusement faciles à intercepter

Alerte lanceur d'alerte : les codes 2FA envoyés par SMS sont dangereusement faciles à intercepter

Les failles de l'authentification à deux facteurs : conçue pour renforcer la sécurité des appareils et compliquer l'accès non autorisé, l'authentification à deux facteurs (2FA) présente pourtant une vulnérabilité majeure dans l'une de ses méthodes les plus répandues. De nombreuses implémentations du 2FA reposent sur l'envoi de codes uniques par SMS, une pratique dont les failles intrinsèques exposent les utilisateurs à des risques d'interception.

Un problème systémique : le recours aux SMS pour les codes 2FA pose un double problème de sécurité. D'une part, le protocole SMS est intrinsèquement vulnérable. D'autre part, les entreprises externalisent souvent ces services à des intermédiaires tiers pour réduire les coûts, sans toujours vérifier leur fiabilité.

Une enquête révélatrice : un lanceur d'alerte a fourni à Bloomberg un lot d'environ un million de messages contenant des codes 2FA envoyés en juin 2023. Ces messages, traités par la société suisse Fink Telecom Services, contenaient non seulement des codes de connexion, mais aussi des métadonnées sur leur parcours.

Des géants tech concernés : parmi les expéditeurs figuraient des poids lourds comme Amazon, Google, Meta, Snapchat, Tinder, Signal et WhatsApp. Des experts indépendants ont authentifié ces données en les croisant avec des informations publiques.

La défense discutable de Fink Telecom : Andreas Fink, PDG de la société, a déclaré à Bloomberg que des restrictions légales les empêchent d'examiner le contenu des messages. Il affirme que son entreprise a cessé ses activités dans la surveillance.

Des solutions alternatives plus sûres : les experts recommandent d'opter lorsque possible pour la vérification biométrique ou des applications d'authentification dédiées. Ces dernières génèrent des codes localement, éliminant les risques liés aux SMS.

Un précédent inquiétant : ce n'est pas la première alerte concernant les failles du 2FA. Le mois dernier, Valve a confirmé une fuite de numéros de téléphone et de codes 2FA par SMS liés à de nombreux comptes Steam.