Nous avons probablement tous reçu des codes de confirmation envoyés par SMS lorsque nous essayons de nous connecter à un compte. Ces codes sont censés servir d’authentification à deux facteurs pour confirmer notre identité et empêcher les escrocs d’accéder à nos comptes par le seul biais d’un mot de passe.
Mais qui gère réellement ces codes SMS et peut-on faire confiance à ces personnes ?
Bloomberg et Lighthouse Reports expliquent comment et pourquoi les codes par SMS peuvent poser des problèmes de sécurité. Les deux organisations révèlent avoir obtenu des informations en provenance d’un lanceur d’alerte dans le monde des télécoms. Il s’agit de messages SMS contenant des codes d’authentification à deux facteurs reçus par des utilisateurs individuels, et traités par un tiers.
Une société suisse très controversée
Car vous pensez peut-être que ces messages sont traités directement par les entreprises et les sites web pour lesquels vous avez un compte. Mais d’après une analyse menée par Bloomberg et Lighthouse, ce n’est pas nécessairement le cas. En l’occurrence, les messages ont transité par une société suisse très controversée, portant le nom de Fink Telecom Services.
« La société et son fondateur ont travaillé avec des agences d’espionnage gouvernementales et des sous-traitants de l’industrie de la surveillance pour surveiller les téléphones portables et suivre la localisation des utilisateurs », indique Bloomberg. « Des chercheurs en cybersécurité et des journalistes d’investigation ont publié des rapports alléguant l’implication de Fink dans de multiples cas d’infiltration de comptes privés en ligne ».
En analysant les données, Bloomberg et Lighthouse ont découvert que les expéditeurs comprenaient des acteurs technologiques majeurs tels que Google, Meta et Amazon. Plusieurs banques européennes, des applications telles que Tinder et Snapshot, la bourse de crypto-monnaies Binance et même des applications de chat chiffrées telles que Signal et WhatsApp étaient également concernées.
Le juteux marché des « titres globaux »
Pourquoi les entreprises confieraient-elles les codes d’authentification à deux facteurs à un fournisseur extérieur, en particulier à un fournisseur dont la réputation est controversée ? Pour des raisons pratiques et financières. Les prestataires externes peuvent souvent traiter ces types de messages textuels à moindre coût et plus facilement que les entreprises elles-mêmes.
C’est particulièrement vrai si une entreprise doit traiter avec des clients dans le monde entier, un processus qui peut être compliqué et coûteux.
Les entreprises se tournent donc vers des fournisseurs comme Fink Telecom en raison de leur accès à des « titres globaux ». Un titre global est une adresse réseau qui permet aux opérateurs de communiquer dans différents pays. Cela donne l’impression qu’une entreprise est basée dans le même pays que n’importe lequel de ses clients. Dans son analyse, Lighthouse dit avoir constaté que Fink utilisait des « global titles » en Namibie, en Tchétchénie, au Royaume-Uni et en Suisse, son pays d’origine.
Fink Telecom au centre de toutes les attentions
Bien que la pratique de l’externalisation de ces messages puisse être pratique, elle n’en comporte pas moins des risques. En avril dernier, l’autorité de régulation britannique Ofcom a interdit la location de titres globaux pour les opérateurs britanniques, citant la menace pour les utilisateurs de téléphones mobiles.
Dans un échange avec Bloomberg, Andreas Fink, PDG de Fink Telecom, a déclaré : « Notre société fournit des infrastructures et des services techniques, y compris des capacités de signalisation et de routage. Nous n’analysons pas et n’interférons pas avec le trafic transmis par nos clients ou leurs partenaires en aval ».
Quant aux entreprises qui externalisent, Google, Meta, Signal et Binance ont déclaré à Bloomberg qu’elles ne travaillaient pas directement avec Fink Telecom.
- Google a ajouté qu’il abandonnait les SMS comme moyen d’authentification des comptes.
- Signal a déclaré qu’il proposait des moyens de prévenir les vulnérabilités liées aux SMS.
- Un porte-parole de Meta a déclaré que la société avait alerté ses partenaires pour qu’ils ne travaillent pas avec Fink Telecom.
Alternatives au SMS
Que les données en question aient été exposées ou non, le problème reste le même. Les SMS ne disposant pas du chiffrement adéquat, ils n’ont jamais constitué un moyen sûr d’échanger des codes d’authentification ou d’autres informations privées.
C’est pourquoi toutes les entreprises devraient cesser de l’utiliser et se tourner vers des méthodes plus robustes. Bien sûr, c’est plus facile à dire qu’à faire. Il existe néanmoins des mesures à prendre pour éviter ce piège.
Lorsque vous configurez l’authentification à deux facteurs pour un compte, ne choisissez pas l’option SMS. Utilisez plutôt une clé de sécurité physique ou, c’est plus simple, une application d’authentification telle que Microsoft Authenticator ou Google Authenticator. Ces applications affichent un code que vous devez saisir sur le site web ou l’application pour confirmer votre connexion. Comme les codes changent toutes les 30 secondes et sont générés sur votre appareil, cette méthode est beaucoup plus sûre et beaucoup plus résistante au vol que les SMS.