Très populaire, l’application censée renforcer la cybersécurité de ses utilisateurs et utilisatrices a laissé s’échapper quelque 33 millions de numéros de téléphone.
Ce n’est pas la première fois que le produit édité par Twilio est victime d’un piratage. Il y a deux ans, l’entreprise admettait en avoir subi deux, quoique d’ampleur bien moindre à côté du butin récolté aujourd’hui par les cybercriminels. Voici ce que l’on sait du sujet.
33 millions de comptes compromis
Authy, c’est une application dite de 2FA (pour 2 Factors Authentification, authentification à double facteur). Ce genre d’outil, plus sécurisé, peut se substituer aux codes à double facteur que l’on reçoit par SMS. Autant dire que la réputation de Twilio prend un sacré coup avec l’annonce de ce piratage massif.
D’après le site spécialisé Bleeping Computer, ce sont pas moins de 33 millions de comptes qui auraient été compromis. Mais il ne s’agit pas vraiment d’une fuite. En réalité, un hacker est parvenu à s’introduire dans la base de données du service afin d’y comparer les numéros de téléphone enregistrés avec ceux de différentes listes trouvables sur le dark web. De ce croisement de données ressort donc un beau pactole, avec 33 millions de victimes potentielles.
Malheureusement, il est déjà trop tard pour entreprendre la moindre action. Changer de mot de passe ne résoudrait rien ; ce sont les serveurs internes de Authy qui ont montré une défaillance, pas la sécurité des comptes des utilisateurs et utilisatrices.
De vastes campagnes de phishing rendues possibles
C’est un véritable trésor sur lequel ont mis la main les cybercriminels. En effet, ils ont désormais la certitude qu’au moins 33 millions de numéros utilisent (ou ont utilisé) le service 2FA de Twilio, lequel est censé protéger l’accès à des sites potentiellement sensibles.
Ils peuvent donc engager de vastes campagnes de phishing par SMS pour tenter de leurrer les utilisateurs et utilisatrices qui, pensant avoir affaire à Authy, cliqueraient sur des liens compromis accordant l’accès des pirates à des comptes importants. Plus grave encore, les hackers pourraient aussi réussir à cloner la carte SIM de leurs victimes, s’offrant ainsi un véritable passe-partout pour accéder à différents comptes censément protégés par la double authentification.
Comme souvent dans ce genre de cas, il s’agira donc de rester vigilants et de surtout vérifier la provenance du moindre SMS concernant Authy. « Nous encourageons tous les utilisateurs d’Authy à rester vigilants et à être plus attentifs aux SMS qu’ils reçoivent », écrit Twilio sur son blog.
Mettre à jour l’application sur votre smartphone n’est pas une mauvaise idée non plus, même si cela n’effacera pas votre numéro de téléphone du larcin des cybercriminels.