markus-spiske-bMvuh0YQQ68-unsplash

Comment l’authentification à deux facteurs permet la cybersurveillance ciblée

Dans certains cas, l’authentification à deux facteurs peut porter préjudice aux utilisateurs.

L’authentification à deux facteurs ou “Two Factor Authentication” (2FA) est une solution simple pour mieux protéger les comptes utilisateurs.

Ce mode de connexion à deux facteurs espère empêcher les personnes indésirables d’accéder à des comptes privés. Et ce, même si elles connaissent le mot de passe en question.

Le fonctionnement

Avec l’authentification à deux facteurs, pour accéder à son compte, l’utilisateur doit passer plusieurs étapes. L’objectif est de prouver au système qu’il est bien la personne propriétaire des données reliées aux comptes.

Il existe trois modes de vérification. Celui avec un mot de passe ou un code PIN, celui grâce à un appareil personnel (par exemple un téléphone), ou encore, celui avec empreinte digitale ou FaceID. La double authentification (2FA) nécessite la validation de deux de ces trois facteurs pour déverrouiller le compte.

Par exemple, l’application demandera d’abord à l’utilisateur d’insérer son mot de passe. Une fois la combinaison secrète saisie, elle enverra un code de vérification sur le téléphone portable du concerné.

Un détournement du service de vérification

Mitto AG est l’entreprise suisse qui fournit les plus grands noms de la tech comme Google, WhatsApp ou encore Telegram. Depuis 2013, le groupe s’est imposé comme un fournisseur de messages textuels automatisés pour des éléments tels que des promotions commerciales, des rappels de rendez-vous et des codes de sécurité nécessaires pour se s’authentifier en ligne. Ainsi, les firmes comme Google, WhatsApp, Telegram, utilisent ce service pour générer des codes d’authentification, dans le cadre d’une 2FA.

En décembre dernier, la société a été accusée d’utiliser ses services de sécurisation pour ses activités de cybersurveillance. En effet, une enquête de Bloomberg, menée en collaboration avec le Bureau of Investigative Journalism basé à Londres, indique que le cofondateur et directeur des opérations de la société, Ilja Gorelik, vendait des accès aux réseaux de Mitto pour localiser secrètement des personnes via leurs téléphones portables. Et ce, entre 2017 et 2018.

Twitter n’a plus confiance

D’après Bloomberg, le cofondateur de l’entreprise “à laquelle les géants de la technologie, dont Google et Twitter, ont fait confiance pour livrer des mots de passe sensibles à des millions de leurs clients, a également exploité un service qui a finalement aidé les gouvernements à surveiller et à suivre secrètement les téléphones portables, selon d’anciens employés et clients”.

Suite à ces révélations, Twitter a décidé de mettre fin à son contrat avec le groupe. En réaction, des représentants de l’entreprise ont tenté de rassurer les autres clients. Ils affirment que Ilja Gorelik a quitté l’entreprise après ces allégations.

Une position favorable

Pour mener à bien ses missions, Mitto AG a conclu des accords d’interconnexion avec des opérateurs mobiles de plusieurs pays.

Concrètement, les opérateurs offrent à l’entreprise un accès au protocole de signalisation SS7. Peu sécurisé, ce protocole est utilisé dans la majorité des réseaux téléphoniques mondiaux pour établir des communications. Concrètement, l’ensemble des protocoles de signalisation SS7 n’a pas beaucoup évolué depuis son développement en 1975. Il représente ainsi des problèmes et des risques de sécurité pour l’ensemble des technologies mobiles qui l’utilisent.

Ce protocole permet de géolocaliser un utilisateur et d’intercepter ses communications.

Un exemple parmi tant d’autres 

Pour Gary Miller, chercheur en sécurité mobile chez Citizen Lab, cela fait des années que “les organisations du secteur de la téléphonie mobile, comme la GSMA, savent que les opérateurs vendent l’accès au réseau, ce qui entraîne une surveillance ciblée”. Il ajoute que “l’absence de réglementation et de responsabilité a entraîné des risques inutiles pour la vie privée et la sécurité des utilisateurs mobiles dans le monde entier”.

La GSMA est une organisation qui représente les intérêts de l’industrie mobile dans le monde entier.

 

_
Suivez Geeko sur Facebook, Youtube et Instagram pour ne rien rater de l'actu, des tests et bons plans.