Un piratage d’Authy a permis à l’attaquant d’obtenir les numéros de téléphone de 33 millions d’utilisateurs de la célèbre application de sécurité 2FA, les exposant ainsi à un risque accru d’attaques de phishing.
Le développeur Twilio a confirmé la violation et a demandé aux clients de prendre deux précautions…
L’authentification à deux facteurs (2FA) signifie que lorsque vous (ou une personne utilisant vos identifiants) vous connectez à un site Web ou à un service, un code d’accès à usage unique généré par une application vous sera également demandé. Authy de Twilio est l’une des applications 2FA les plus populaires de l’App Store.
La semaine dernière, un pirate informatique a affirmé avoir obtenu les numéros de téléphone de 33 millions d’utilisateurs d’Authy, et Twilio l’a désormais confirmé, sans toutefois préciser le nombre de comptes.
Twilio a détecté que des acteurs malveillants ont pu identifier des données associées aux comptes Authy, y compris les numéros de téléphone, grâce à un point de terminaison non authentifié.
Nous avons pris des mesures pour sécuriser ce point de terminaison et ne plus autoriser les demandes non authentifiées. Nous n’avons constaté aucune preuve que les acteurs malveillants aient obtenu l’accès aux systèmes de Twilio ou à d’autres données sensibles.
Le développeur demande à tous les utilisateurs de mettre à jour vers la dernière version et d’être attentifs aux messages texte douteux.
Par mesure de précaution, nous demandons à tous les utilisateurs d’Authy de mettre à jour les dernières applications Android et iOS pour bénéficier des dernières mises à jour de sécurité. Bien que les comptes Authy ne soient pas compromis, des acteurs malveillants peuvent essayer d’utiliser le numéro de téléphone associé aux comptes Authy pour des attaques de phishing et de smishing. Nous encourageons tous les utilisateurs d’Authy à rester vigilants et à être particulièrement attentifs aux SMs qu’ils reçoivent.
Le plus grand risque ici est qu’un attaquant sache désormais trois choses sur vous :
- Votre numéro de téléphone
- Que vous utilisiez 2FA
- Que vous utilisiez spécifiquement Authy
Ils peuvent utiliser ces informations pour créer des textes persuasifs, par exemple provenant de l’un de vos services vous informant qu’il y a un problème avec votre authentification à deux facteurs et vous demandant de la réinitialiser. Ou prétendant être Twilio.
TechCrunch rapporte que le même pirate informatique serait à l’origine d’une campagne de phishing qui a entraîné le vol d’environ 10 000 identifiants d’employés dans plusieurs entreprises différentes.
Une attaque de phishing est également à l’origine de la violation de données d’Evolve, qui a probablement compromis les informations personnelles sensibles des clients de Wise et d’autres sociétés fintech.
C’est la deuxième fois en quelques semaines que nous constatons une faille de sécurité dans une entreprise de cybersécurité, après l’exposition de pièces d’identité avec photo sur un service de vérification d’identité utilisé par de nombreux géants de la technologie. Le développeur d’une application 2FA figure également en tête de liste des entreprises que vous ne souhaitez vraiment pas voir piratées.
Photo de Philipp Katzenberger sur Unsplash
Envie de vous détendre un peu ? Voici un reportage très intéressant sur l’intelligence artificielle :
