Si vous pensiez qu’en activant la double authentification (2FA), vous étiez 100 % sécurisé, cette nouvelle risque de vous faire déchanter. En effet, selon le média américain TechCrunch, une entreprise technologique spécialisée dans le routage de millions de SMS à travers le monde, a sécurisé une base de données exposée, qui révélait des codes de sécurité à usage unique, reçus par les utilisateurs par SMS, pouvant donner accès aux comptes Facebook, Google et TikTok des utilisateurs.
La vulnérabilité détectée chez YX International, avec des contenus sensibles exposés
YX International, une entreprise asiatique spécialisée dans la fabrication d’équipements de réseau cellulaire, et fournissant des services de routage de SMS, a laissé l’une de ses bases de données internes exposée sur internet sans mot de passe. Cela permettait à quiconque d’accéder aux données sensibles en utilisant simplement un navigateur web, et connaissant l’adresse IP publique de la base de données.
Un chercheur en sécurité, Anurag Sen, spécialisé dans la découverte de données sensibles exposées accidentellement sur internet, a identifié la base de données. Sen a partagé les détails avec TechCrunch pour aider à identifier le propriétaire de la base de données et signaler cette faille de sécurité.
La base de données exposée contenait le contenu des messages texte envoyés aux utilisateurs, y compris des codes de sécurité à usage unique, et des liens de réinitialisation de mot de passe pour certaines des plus grandes entreprises technologiques mondiales, notamment Facebook, Google, TikTok, et d’autres.
Les journaux mensuels remontaient à juillet 2023, et la base de données continuait de croître en taille chaque minute.
L’authentification à 2 facteurs (2FA) : le code SMS est-il moins sécurisé que les applications d’authentification tierces ?
Quand il s’agit d’identification en ligne, sur le principe, la double authentification (2FA) offre une protection maximale contre les piratages de comptes en ligne, qui reposent sur le vol de mots de passe, en envoyant un code supplémentaire à un appareil de confiance, comme un smartphone, afin de sécuriser l’action (achat en ligne, validation d’action, changement de mot de passe…). Cependant, les codes 2FA et les réinitialisations de mot de passe, comme ceux trouvés dans la base de données exposée, expirent généralement après quelques minutes ou une utilisation.
Ainsi, les codes envoyés par SMS ne sont pas aussi sécurisés que d’autres formes plus robustes de 2FA, comme un générateur de codes basé sur une application (par exemple Google Authenticator ou Microsoft Authenticator), car les messages texte sont sujets à l’interception, à l’exposition, ou dans ce cas, à la fuite depuis une base de données ouvert vers le web.
TechCrunch a découvert, dans la base de données exposée, des ensembles d’adresses e-mail internes et de mots de passe correspondants associés à YX International, et a alerté l’entreprise de cette fuite. La base de données a rapidement été rendue inaccessible. Un représentant de YX International, qui n’a pas fourni son nom, a déclaré que l’entreprise avait « colmaté cette vulnérabilité ».
Interrogé par TechCrunch, le représentant de YX International a affirmé que le serveur ne stockait pas les journaux d’accès, ce qui aurait permis de déterminer si quelqu’un d’autre que Sen avait découvert la base de données exposée et son contenu. YX International n’a pas précisé la durée pendant laquelle la base de données était exposée.
Source : https://techcrunch.com/2024/02/29/leaky-database-two-factor-codes/