L’authentification à double facteur (2FA) est considérée comme un rempart essentiel pour protéger nos comptes en ligne. Pourtant, même les fournisseurs de solutions 2FA ne sont pas à l’abri de failles de sécurité majeures, comme vient de le démontrer le cas d’Authy, l’application développée par Twilio.
33 millions de numéros de téléphone exposés suite à une faille chez Authy
Le 1er juillet, Twilio a annoncé qu’Authy, son application mobile d’authentification à double facteur disponible sur iOS et Android, avait été victime d’une importante faille de sécurité. Selon l’entreprise, l’incident serait dû à “un point de terminaison non authentifié”, qui aurait permis à un attaquant d’accéder à une base de données contenant des numéros de téléphone associés à des comptes utilisateurs.
L’ampleur de la fuite est colossale : jusqu’à 33 millions de numéros de téléphone auraient ainsi été compromis. Fort heureusement, Twilio affirme que l’attaquant n’aurait pas pu accéder à des données plus sensibles ni aux systèmes critiques d’Authy. La faille a depuis été corrigée, et les utilisateurs sont invités à effectuer la dernière mise à jour de l’application pour sécuriser leur accès.
Quels sont les risques pour les utilisateurs concernés ?
Si les numéros de téléphone exposés ne permettent pas un accès direct aux comptes, ils ouvrent néanmoins la porte à des campagnes de phishing ciblées de grande envergure. Les cybercriminels pourraient exploiter ces données pour se faire passer pour Authy ou d’autres services légitimes, dans le but d’inciter les victimes à révéler des informations confidentielles ou à effectuer des transferts frauduleux.
Dans l’écosystème des cryptomonnaies, où l’authentification à double facteur est cruciale, ce type d’attaque est particulièrement préoccupant. Rien qu’en mars dernier, 71 millions de dollars ont été dérobés à des utilisateurs de cryptos via des arnaques au phishing.
Comment renforcer la sécurité de ses comptes en ligne ?
Face à ces menaces, il est essentiel de redoubler de vigilance et d’adopter les bonnes pratiques de sécurité :
- Maintenir ses applications 2FA à jour pour bénéficier des derniers correctifs de sécurité
- Être attentif aux tentatives de phishing et ne jamais communiquer ses identifiants ou codes de validation par téléphone ou email
- Privilégier si possible l’authentification matérielle (clés de sécurité) pour ses comptes les plus sensibles
- Utiliser des mots de passe robustes et uniques pour chaque service, idéalement via un gestionnaire de mots de passe
L’incident Authy rappelle que même les solutions de sécurité ne sont pas infaillibles. En combinant authentification à multiple facteurs, bonnes pratiques et sens critique, on peut néanmoins drastiquement réduire les risques de piratage de ses comptes et actifs numériques.