26 millions de SMS en fuite sur internet remettent en cause l’authentification à 2 facteurs

Une faille de sécurité majeure a exposé 26 millions de SMS de clients d'un opérateur californien sur internet. Un serveur n'était pas protégé par mot de passe, ce qui aurait permis à n'importe quels pirates de consulter les messages échangés. Depuis, la firme a été prévenue et a bloqué l'accès à la base de données compromise.

26 millions sms

Selon le site Tech Crunch, un chercheur en sécurité allemand a fait une étonnante découverte. L'opérateur californien Voxox basé à San Diego a été victime d'une grave faille de sécurité. En effet, l'un de ses serveurs n'était pas protégé par mot de passe, ce qui aurait permis à n'importe quel internaute d'accéder à une base de données mise à jour presque en temps réel contenant les SMS échangés par ses abonnés. Une interface graphique était présente permettant d'explorer facilement les données en cherchant un numéro de téléphone par exemple.

26 millions de SMS exposés sur internet à cause d'une faille de sécurité majeure

Le serveur exposé appartient à Voxox (anciennement Telcentris ), société de communications basée à San Diego, Californie. Le serveur n'était pas protégé par un mot de passe, ce qui permettait à quiconque savait où chercher de jeter un coup d'œil sur un flux de messages texte en temps quasi réel» explique nos confrères avant d'ajouter : “pire encore, la base de données – exécutée sur Elasticsearch d’Amazon – était configurée avec une interface Kibana, ce qui rendait les données facilement lisibles, consultables pour les noms, les numéros de téléphone et le contenu des messages texte eux-mêmes».

Que contenaient les messages concrètement ? Il est question de messages d'ordres privés, de rendez-vous dans certains établissements publics, d'authentification à deux facteurs sur des services comme Booking.com ou Google, des avis d'expédition de colis Amazon… La faille aurait pu exposer un nombre incalculable de comptes provenant de divers services web à un détournement. Heureusement les choses ont pu être réglées suite au signalement à Voxox. L'opérateur indique qu'il “examinait le problème et suivait la politique standard en matière de violation de données… pour évaluer l'impact».

Ce n'est pas la première fois que nous évoquons une faille impliquant les SMS. Une précédente opération de piratage a permis de vider de nombreux comptes bancaires en accédant frauduleusement au réseau SS7. Ce qui a permis aux hackers de recevoir des codes de validations envoyés. L'authentification à deux facteurs est conseillée par tous les géants du net qui la propose. Sauf qu'elle peut aussi être détournée si des hackers arrivent à s'introduire chez les opérateurs ou les services qui contrôlent l'envoi de ces messages. Certes, cela arrive très rarement. La CNIL évoque d'ailleurs des recommandations en matière de protection des mots de passe.

Lire aussi : Top 25 des pires mots de passe de 2017 : starwars, password, 123456,…


La rédaction vous conseille aussi...

Réagissez à cet article !

Demandez nos derniers articles !

L’intelligence artificielle commence à se rebeller, à faire n’importe quoi et c’est vraiment flippant

Triche, mensonge, suppression de données : l’intelligence artificielle commence à se retourner contre les utilisateurs. C’est en tout cas ce que laisse entendre une nouvelle étude financée par l’AI Security…

IA

Quand et comment regarder le GP F1 du Japon en direct et gratuitement ce dimanche ?

Le GP F1 du Japon se dispute ce dimanche 29 mars sur le mythique circuit de Suzuka, et avec un départ à 7h du matin heure française, il va falloir…

Windows 11 : les pilotes non certifiés sont dans le viseur de Microsoft, les choses vont changer

Microsoft renforce toujours plus la sécurité de Windows 11. Cette fois, l’entreprise s’en prend aux anciens pilotes dont le certificat de sécurité est expiré, qui ne fonctionneront bientôt plus. La…

Les meilleurs VPN avec gestionnaire de mots de passe en 2026 : quelle solution choisir ?

En 2026, certains fournisseurs VPN vont plus loin que le simple chiffrement de connexion en intégrant notamment un gestionnaire de mots de passe à leurs offres. Une approche “tout-en-un” qui…

“Aucune attaque réussie de logiciels espions contre un appareil Apple” grâce à ce mode de sécurité disponible sur votre iPhone

Votre iPhone est doté d’un mode de sécurité qui n’a encore jamais été franchi par les pirates, annonce Apple. Mais l’activer a un coût important en termes d’expérience utilisateur. En…

Rachat de SFR : le prix des abonnements mobile et internet pourrait grimper jusqu’à 25 %

Le retour à trois opérateurs télécoms en France, consécutif du futur rachat de SFR, pourrait entraîner une forte hausse du prix des abonnements. Le rachat de SFR n’est plus qu’une…

iOS 26.4 : le nouveau système de vérification de l’âge sur iPhone tourne au fiasco

La mise à jour iOS 26.4 pour l’iPhone a intégré un système de vérification de l’âge, devenu obligatoire au Royaume-Uni pour accéder à certains contenus. Et il cause bien des…

Test Apple MacBook Neo : « oui, j’ai un coeur d’iPhone, et alors ? »

Le 4 mars, Apple a jeté un pavé dans la mare en dévoilant le MacBook Neo, son nouvel ordinateur portable. Sa principale particularité : être vendu sous la barre des…

Ces paramètres cachés d’Android vont vous donner l’impression d’avoir un téléphone flambant neuf

Vous pensez que votre smartphone Android a fait son temps ? Attendez un peu avant de le changer. En effet, l’OS de Google embarque des options méconnues qui vous donneront…

Cette photo spectaculaire de la NASA révèle la supernova la plus ancienne jamais détectée sous un nouveau jour

Les progrès scientifiques et technologiques donnent naissance à des photos spectaculaires, mais leur intérêt n’est pas seulement esthétique : ces clichés permettent parfois de découvrir des caractéristiques demeurées jusque-là invisibles. C’est…