26 millions de SMS en fuite sur internet remettent en cause l’authentification à 2 facteurs

Une faille de sécurité majeure a exposé 26 millions de SMS de clients d’un opérateur californien sur internet. Un serveur n’était pas protégé par mot de passe, ce qui aurait permis à n’importe quels pirates de consulter les messages échangés. Depuis, la firme a été prévenue et a bloqué l’accès à la base de données compromise.

26 millions sms

Selon le site Tech Crunch, un chercheur en sécurité allemand a fait une étonnante découverte. L’opérateur californien Voxox basé à San Diego a été victime d’une grave faille de sécurité. En effet, l’un de ses serveurs n’était pas protégé par mot de passe, ce qui aurait permis à n’importe quel internaute d’accéder à une base de données mise à jour presque en temps réel contenant les SMS échangés par ses abonnés. Une interface graphique était présente permettant d’explorer facilement les données en cherchant un numéro de téléphone par exemple.

26 millions de SMS exposés sur internet à cause d’une faille de sécurité majeure

« Le serveur exposé appartient à Voxox (anciennement Telcentris ), société de communications basée à San Diego, Californie. Le serveur n’était pas protégé par un mot de passe, ce qui permettait à quiconque savait où chercher de jeter un coup d’œil sur un flux de messages texte en temps quasi réel» explique nos confrères avant d’ajouter : « pire encore, la base de données – exécutée sur Elasticsearch d’Amazon – était configurée avec une interface Kibana, ce qui rendait les données facilement lisibles, consultables pour les noms, les numéros de téléphone et le contenu des messages texte eux-mêmes».

Que contenaient les messages concrètement ? Il est question de messages d’ordres privés, de rendez-vous dans certains établissements publics, d’authentification à deux facteurs sur des services comme Booking.com ou Google, des avis d’expédition de colis Amazon… La faille aurait pu exposer un nombre incalculable de comptes provenant de divers services web à un détournement. Heureusement les choses ont pu être réglées suite au signalement à Voxox. L’opérateur indique qu’il « examinait le problème et suivait la politique standard en matière de violation de données… pour évaluer l’impact».

Ce n’est pas la première fois que nous évoquons une faille impliquant les SMS. Une précédente opération de piratage a permis de vider de nombreux comptes bancaires en accédant frauduleusement au réseau SS7. Ce qui a permis aux hackers de recevoir des codes de validations envoyés. L’authentification à deux facteurs est conseillée par tous les géants du net qui la propose. Sauf qu’elle peut aussi être détournée si des hackers arrivent à s’introduire chez les opérateurs ou les services qui contrôlent l’envoi de ces messages. Certes, cela arrive très rarement. La CNIL évoque d’ailleurs des recommandations en matière de protection des mots de passe.

Lire aussi : Top 25 des pires mots de passe de 2017 : starwars, password, 123456,…

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Chrome : 85% des extensions se moquent de votre vie privée

Une étude Duo Labs autour des extensions Chrome révèle que 85% d’entre elles n’ont aucune politique en matière de vie privée – un document qui explique clairement comment vos données seront utilisées en cas de collecte. Pour en arriver à…

Attention, ce câble USB peut pirater n’importe quel ordinateur

Ce câble USB modifié permet à un attaquant de pirater n’importe quel ordinateur. Conçu par un chercheur en cybersécurité, cet accessoire peut réagir à des commandes à distance transmises par un pirate. Bientôt produit en masse, il est destiné à mettre en garde le grand public…

Pourquoi il ne faut pas mettre sa date d’anniversaire sur internet

Une date d’anniversaire peut sembler être une information publique. Les dates d’anniversaire sont pourtant utilisées dans de nombreux services du web et peuvent être mises à parti par des pirates pour accéder à des informations sensibles comme votre compte en…

Reconnaissance faciale : la liste des smartphones vraiment sécurisés

La reconnaissance faciale se démocratise sur les smartphones. Pourtant, la technologie qu’il y a derrière n’est pas toujours suffisamment sécurisée. L’association de consommateur néerlandaise Consumentenbond dresse la liste des smartphones que l’on peut duper avec une simple photo, et ceux…

Comment mieux choisir ses mots de passe

La gestion des mots de passe est une vraie galère aujourd’hui. Nous avons des dizaines de comptes, difficile de se souvenir de tous les identifiants. Sans compter qu’il faut des mots de passe sécurisés et variés. Mais alors comment bien choisir ? On vous dit tout.

La France va payer des hackers afin de renforcer sa cyberdéfense

La France veut renforcer sa cyberdéfense. La ministre des Armées Florence Parly a annoncé l’arrivée d’un programme récompensant financièrement les hackers qui trouvent des failles de sécurité dans ses systèmes. Et pousse les industriels à suivre le pas.  Afin de…