Une faille de sécurité d’une base de données contenant des dizaines de millions de SMS a été mise à jour. Une faille qui aurait permis à des pirates de mettre la main sur le contenu de ces SMS.

C’est une importante faille de sécurité qu’a révélée la société mère du serveur, Vovox, située à San Diego (Californie). Après avoir partagé l’information, celle-ci a déconnecté la base de données renfermant les SMS, mais le mal avait peut-être déjà été fait.

En effet, la faille en question aurait pu permettre à des pirates de mettre la main sur des millions de SMS et leur contenu. Au-delà des conversations intimes – qui reste une intrusion malheureuse -, la société Vovox s’inquiète surtout que la faille a exposé des données sensibles, telle que des mots de passe ou clé d’authentification.

Aujourd’hui, beaucoup d’entreprises et de sites internet ont recours à l’authentification à double facteur. Une mesure de sécurité qui consiste à taper son mot de passe traditionnellement sur le site, ainsi qu’un code reçu par SMS. Et c’est justement là que la société Vovox intervient en tant qu’intermédiaire entre le commanditaire du SMS de sécurité et l’opérateur mobile. C’est elle qui envoie le fameux code.

Or, la base de données de la société ne semblait pas être bien sécurisée. Quelle ironie. N’importe quel utilisateur débrouillard pouvait s’introduire dans le serveur et mettre la main sur les contenus des SMS. Au moment de la fermeture du serveur, celui-ci contenait plus de 26 millions de SMS accessibles facilement puisqu’aucun mot de passe n’était demandé pour entrer dans la base de données. On pouvait donc lire le texte, le destinateur, le numéro de téléphone ainsi que le client expéditeur.

Si l’authentification à double serveur permet d’assurer une sécurité supplémentaire d’un compte, le fait qu’un individu puisse intercepter ce SMS contenant la seconde clé représente un risque important. Si celui-ci dispose de votre mot de passe, il lui suffit de mettre d’intercepter le SMS pour pouvoir pirater votre compte.

Le principe de l’authentification à double facteur reste une bonne méthode de sécurité, mais il serait intéressant de vérifier que chaque étape du processus le soit tout autant.

Pour le moment, aucune attaque pirate n’a revendiqué une intrusion dans la faille de sécurité du serveur Vovox.

1 COMMENTAIRE

Comments are closed.