securite-informatique

Application d’authentification Authy, piratage massif de numéros de téléphone

Plus de 33 Millions de numéros de téléphone découverts

Un pirate a récemment divulgué plus de 33 millions de numéros de téléphone d’utilisateurs du service d’authentification à deux facteurs Authy. Authy, une application de sécurité populaire, gère les codes d’authentification des applications et services en ligne en renforçant la sécurité au travers d’une seconde étape d’authentification.

Authy, les détails du piratage

L’acteur malveillant a publié un fichier texte CSV contenant 33 millions de numéros de téléphone de clients d’Authy. Ce piratage a été rendu possible en exploitant une API mal sécurisée. Le pirate n’a pas voler des données directement, mais a utilisé une comparaison massive de numéros de téléphone enregistrés avec ceux en sa possession, obtenus à partir de diverses listes obtenues sur le dark web.

Twilio, la société mère d’Authy, a confirmé l’authenticité de la fuite et a rapidement colmaté la faille exploitée par le pirate. Une mise à jour pour les versions Android et iOS de l’application a également été publiée par précaution.

Impact et mesures de sécurité

Heureusement, il n’y a pas de menace directe immédiate pour les utilisateurs, car un numéro de téléphone seul ne permet pas de causer des dommages significatifs. Cependant, les utilisateurs concernés doivent rester vigilants face aux risques potentiels, notamment :

  • Attaques par SMS : Les utilisateurs peuvent recevoir des messages incitant à partager des codes d’authentification ou à télécharger des logiciels malveillants.
  • Échanges de cartes SIM : Ces attaques nécessitent des informations personnelles supplémentaires et impliquent le fournisseur de services cellulaires de la victime.
  • Recherches en ligne : Les attaquants pourraient utiliser d’autres bases de données pour relier les numéros de téléphone à leurs propriétaires.

Les données dans Authy sont actuellement sécurisées. Cependant, ce n’est pas le premier incident de ce type pour Twilio. En 2022, la société avait déjà confirmé avoir subi une violation de données.

Source : Bleeping Computer

 

Jérôme Gianoli

Aime l'innovation, le hardware, la High Tech et le développement durable. Soucieux du respect de la vie privée.

Voir commentaires

  • -_-"
    Bon sang les gens, pourquoi vous utilisez des apps comme ça, centralisées sur le cloud (ou «sur l'ordinateur de quelqu'un d'autre») alors que des apps similaires tournant uniquement en local existent... Oui y'a pas la synchronisation entre plusieurs appareils, mais je vous le demande, est-ce que ce petit confort de quelques minutes gagnées vaut les risques de sécurité potentiels ? (d'autant qu'avec un peu de jugeote on peut réussir très probablement à synchro les données avec SyncThing).

    C'est comme tout ces gens qui utilisent des gestionnaire de mots de passes dont les BDD sont dans le cloud, vous vous rendez compte que vous courrez après les soucis ou bien ? La centralisation massive de ce genre de données fait de-facto, de ces serveurs et service, une cible de choix pour tout pirate. Des failles va y'en avoir, c'est pas une question de si mais de quand et de comment. Que ce soit des failles zero-day ou des piratages via ingénierie sociale, les risque sont, à mon sens, trop grand pour ces données bien trop précieuses et sensible.

    Une petite analogie :
    C'est comme si tu donnais les clefs de ta maison à une société regroupant les clefs de ses clients pour protéger leurs bien, dont tu ne sais rien de leurs protocoles de sécurité, ne serait-ce pas une cible de choix pour des voleurs ?

Partager
Publié par
Jérôme Gianoli
Tags: Authy

Article récent

Windows 11, les MAJs de décembre 2024 sont à l’origine de problèmes

Le Patch Tuesday de décembre 2024 semble avoir apporté son lot de complications à certains… Lire d'avantage

24/12/2024

iCraft Arc B580 de MAXSUN : une carte graphique équipée d’une double connectiques NVMe M.2

Maxsun tente de surprendre dans le petit monde des cartes graphiques. L'iCraft Arc B580 est… Lire d'avantage

23/12/2024

ZOTAC dévoile la gamme des GeForce RTX 50 et confirme les spécifications

Le site officiel de Zotac a confirmé l’existence des GeForce RTX 50 series et leur… Lire d'avantage

23/12/2024

Les Radeon RX 9070 XT et non XT apparaissent !

La prochaine Radeon RX 8800 XT pourrait bien d’appeler la Radeon RX 9070 XT. C’est… Lire d'avantage

23/12/2024

WigiDash de G.Skill, un écran USB tactile de 7 pouces indispensable ?

G.Skill tente de se distinguer sur le marché des périphériques en lançant le WigiDash, un… Lire d'avantage

23/12/2024

Test WigiDash de G.Skill

G.Skill a étoffé son catalogue produits avec l’annonce du WigiDash. Il s’agit d’un périphérique USB… Lire d'avantage

23/12/2024