Une application de 2FA victime d’une fuite de donnée : plus de 30 millions de téléphones concernés

L’authentification à double facteur (2FA) est une méthode éprouvée pour ajouter simplement un maillon à sa chaîne de sécurité en ligne. Malheureusement, les fournisseurs de tels services ne sont pas à l’abri de failles informatiques. Authy, une solution développée par l’entreprise Twilio, vient de l’apprendre à ses dépens suite à une fuite massive de données.

Ancien client Bybit, vous cherchez une plateforme régulée en France ?
<strong>Bitpanda offre 3% de cashback jusqu'à 1000€ pour les anciens clients Bybit</strong>
Bitpanda offre 3% de cashback jusqu'à 1000€ pour les anciens clients Bybit

33 millions de numéros de téléphone dans la nature

Authy est une application mobile d’authentification à double facteur disponible sur iOS et Android. Toutefois, ce n’est pas parce qu’elle vise à améliorer la sécurité de ses utilisateurs que l’application elle-même est infaillible.

Ainsi, le 1er juillet, Twilio, l’éditeur de l’application, a annoncé avoir été victime d’une importante faille de sécurité.

« Twilio a détecté une fuite de données associées à des comptes Authy, y compris des numéros de téléphone, en raison d’un point de terminaison non authentifié. Nous avons pris des mesures pour sécuriser ce point d’accès et ne plus autoriser les requêtes non authentifiées. »

Selon l’annonce, l’attaquant n’aurait pas été en mesure d’accéder aux systèmes critiques d’Authy ou à des données utilisateurs plus sensibles.

Les équipes de Twilio invitent les utilisateurs à effectuer la dernière mise à jour de l’application afin de sécuriser leur accès.

Au total, il semblerait que jusqu’à 33 millions de numéros de téléphone ont pu être compromis. Bien que cela n’ait pas d’incidence directe sur la sécurité des utilisateurs, ces derniers pourraient être ciblés par d’importantes campagnes de phishing.

Pour rappel, lors d’une attaque phishing, l’attaquant va usurper l’identité d’une entité tierce. L’objectif étant de contacter sa victime en se faisant passer pour cette entité. Ensuite, l’attaquant va profiter de l’inattention de sa victime pour tenter de lui extorquer des fonds.

Dans l’écosystème des cryptomonnaies, ce type d’attaque est malheureusement courant. Rien qu’au mois de mars, 71 millions de dollars ont été dérobés à des utilisateurs crypto via des attaques phishing.

Ancien client Bybit, vous aimeriez trouver une plateforme sécurisée, avec un large panel de produits cryptos, mais surtout régulée en France ?
<strong>Bitpanda offre 3% de cashback jusqu'à 1000€ pour les anciens clients Bybit</strong>
Bitpanda offre 3% de cashback jusqu'à 1000€ pour les anciens clients Bybit

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.