L’authentification à double facteur (2FA) est une méthode éprouvée pour ajouter simplement un maillon à sa chaîne de sécurité en ligne. Malheureusement, les fournisseurs de tels services ne sont pas à l’abri de failles informatiques. Authy, une solution développée par l’entreprise Twilio, vient de l’apprendre à ses dépens suite à une fuite massive de données.
33 millions de numéros de téléphone dans la nature
Authy est une application mobile d’authentification à double facteur disponible sur iOS et Android. Toutefois, ce n’est pas parce qu’elle vise à améliorer la sécurité de ses utilisateurs que l’application elle-même est infaillible.
Ainsi, le 1er juillet, Twilio, l’éditeur de l’application, a annoncé avoir été victime d’une importante faille de sécurité.
« Twilio a détecté une fuite de données associées à des comptes Authy, y compris des numéros de téléphone, en raison d’un point de terminaison non authentifié. Nous avons pris des mesures pour sécuriser ce point d’accès et ne plus autoriser les requêtes non authentifiées. »
Selon l’annonce, l’attaquant n’aurait pas été en mesure d’accéder aux systèmes critiques d’Authy ou à des données utilisateurs plus sensibles.
Les équipes de Twilio invitent les utilisateurs à effectuer la dernière mise à jour de l’application afin de sécuriser leur accès.
Au total, il semblerait que jusqu’à 33 millions de numéros de téléphone ont pu être compromis. Bien que cela n’ait pas d’incidence directe sur la sécurité des utilisateurs, ces derniers pourraient être ciblés par d’importantes campagnes de phishing.
Pour rappel, lors d’une attaque phishing, l’attaquant va usurper l’identité d’une entité tierce. L’objectif étant de contacter sa victime en se faisant passer pour cette entité. Ensuite, l’attaquant va profiter de l’inattention de sa victime pour tenter de lui extorquer des fonds.
Dans l’écosystème des cryptomonnaies, ce type d’attaque est malheureusement courant. Rien qu’au mois de mars, 71 millions de dollars ont été dérobés à des utilisateurs crypto via des attaques phishing.
L’article Une application de 2FA victime d’une fuite de donnée : plus de 30 millions de téléphones concernés est apparu en premier sur Journal du Coin.
