26 millions de SMS en fuite sur internet remettent en cause l’authentification à 2 facteurs

Une faille de sécurité majeure a exposé 26 millions de SMS de clients d'un opérateur californien sur internet. Un serveur n'était pas protégé par mot de passe, ce qui aurait permis à n'importe quels pirates de consulter les messages échangés. Depuis, la firme a été prévenue et a bloqué l'accès à la base de données compromise.

Selon le site Tech Crunch, un chercheur en sécurité allemand a fait une étonnante découverte. L'opérateur californien Voxox basé à San Diego a été victime d'une grave faille de sécurité. En effet, l'un de ses serveurs n'était pas protégé par mot de passe, ce qui aurait permis à n'importe quel internaute d'accéder à une base de données mise à jour presque en temps réel contenant les SMS échangés par ses abonnés. Une interface graphique était présente permettant d'explorer facilement les données en cherchant un numéro de téléphone par exemple.

26 millions de SMS exposés sur internet à cause d'une faille de sécurité majeure

“Le serveur exposé appartient à Voxox (anciennement Telcentris ), société de communications basée à San Diego, Californie. Le serveur n'était pas protégé par un mot de passe, ce qui permettait à quiconque savait où chercher de jeter un coup d'œil sur un flux de messages texte en temps quasi réel» explique nos confrères avant d'ajouter : “pire encore, la base de données – exécutée sur Elasticsearch d’Amazon – était configurée avec une interface Kibana, ce qui rendait les données facilement lisibles, consultables pour les noms, les numéros de téléphone et le contenu des messages texte eux-mêmes».

Que contenaient les messages concrètement ? Il est question de messages d'ordres privés, de rendez-vous dans certains établissements publics, d'authentification à deux facteurs sur des services comme Booking.com ou Google, des avis d'expédition de colis Amazon… La faille aurait pu exposer un nombre incalculable de comptes provenant de divers services web à un détournement. Heureusement les choses ont pu être réglées suite au signalement à Voxox. L'opérateur indique qu'il “examinait le problème et suivait la politique standard en matière de violation de données… pour évaluer l'impact».

Ce n'est pas la première fois que nous évoquons une faille impliquant les SMS. Une précédente opération de piratage a permis de vider de nombreux comptes bancaires en accédant frauduleusement au réseau SS7. Ce qui a permis aux hackers de recevoir des codes de validations envoyés. L'authentification à deux facteurs est conseillée par tous les géants du net qui la propose. Sauf qu'elle peut aussi être détournée si des hackers arrivent à s'introduire chez les opérateurs ou les services qui contrôlent l'envoi de ces messages. Certes, cela arrive très rarement. La CNIL évoque d'ailleurs des recommandations en matière de protection des mots de passe.

Lire aussi : Top 25 des pires mots de passe de 2017 : starwars, password, 123456,…