Piratage Authy : 33 millions de numéros de téléphone dérobés

Piratage Authy : 33 millions de numéros de téléphone dérobés

Authy, une application de double authentification, a été victime d'une cyberattaque. Le pirate est parvenu à dérober quelque 33 millions de numéros de téléphone, exposant leurs utilisateurs au phishing et au SIM swapping.

Pour plus de sécurité, de nombreux internautes ont recours à des applications générant des codes de connexion, comme Google Authenticator, dans le cadre de l'authentification à deux facteurs. Ce système permet d'améliorer la sécurité des comptes en ligne en ajoutant une couche de protection supplémentaire et met ainsi des bâtons dans les roues des cybercriminels. Cependant, cela ne garantit pas une sécurité à 100 %. Authy, la célèbre application de Twilio consacrée à l'authentification à deux facteurs, a été victime d'une cyberattaque. Deux ans après avoir essuyé deux intrusions, au cours desquelles les cybercriminels avaient pu pénétrer son infrastructure et accéder aux informations de comptes Authy, Twilio a annoncé dans un communiqué qu'un attaquant avait été "en mesure d'identifier les données associées aux comptes Authy, y compris les numéros de téléphone" en exploitant une faille dans l'interface de programmation de l'application.

Piratage Authy : les données de 33 millions d'utilisateurs en vente

En exploitant la faille d'Authy, le pirate, qui se fait appeler ShinyHunters, a comparé une liste de numéros obtenus lors d'une précédente fuite de données avec ceux enregistrés dans les systèmes d'Authy. Lorsque le numéro de téléphone était bien enregistré, le point de terminaison à l'origine de la faille renvoyait des informations sur les comptes associés enregistrés chez Authy. Notons que ShinyHunters est également derrière la fuite des données de TicketMaster, la billetterie en ligne, survenue en juin dernier et qui a abouti au vol des données personnelles de 560 millions d'utilisateurs.

© Bleeping Computeur

Après avoir réussi l'opération, ShinyHunters a publié en juin dernier sur un forum de piratage un fichier CSV comprenant 33 millions de numéros de téléphone enregistrés sur Authy. Chaque entrée du fichier comprenait un identifiant de compte, un numéro, l'état du compte et le nombre d'appareils liés.

Piratage Authy : des risques de phishing et de détournement de carte SIM

Cette fuite, en apparence anodine, expose les utilisateurs touchés aux attaques de phishing par SMS et de SIM swapping. Les cybercriminels vont pouvoir coupler ces nouvelles données avec celles d'autres violations de données pour mettre au point des campagnes de hameçonnage sophistiquées, et ainsi mieux calibrer leurs cyberattaques. Sans compter que, en piratant un numéro de téléphone enregistré chez Authy, ils pourront obtenir un accès à toute une panoplie de comptes sécurisés avec l'authentification double facteurs. Il leur suffira de récolter tous les codes de connexion pour pénétrer sur des dizaines de comptes différents.

Twilio a depuis sécurisé le point de terminaison compromis. C'est pourquoi les utilisateurs doivent absolument mettre à jour l'application sur Android v. 25.1.0 et iOS v. 26.1.0. L'entreprise indique également "ne plus autoriser les demandes non authentifiées" et assure n'avoir trouvé aucune preuve que le hacker ait eu accès à d'autres données sensibles. Mieux vaut tout de même changer le mot de passe principal de l'application et activer l'authentification biométrique.

Si jamais vous recevez un mail ou un SMS que vous trouvez suspect, n'hésitez pas à utiliser des outils de vérification comme Scamio, un chatbot gratuit capable d'analyser les communications reçues et de détecter les tentatives de fraude, ou encore Orange Cybersecure, un portail participatif qui permet à n'importe quel internaute de vérifier si un lien est malveillant (voir notre article).