Authy, une importante application de double authentification, a subi une cyberattaque. En se servant d’une faille de sécurité, des cybercriminels ont pu obtenir la liste des numéros de téléphone enregistrés sur le service. Le piratage représente un grand danger pour 33 millions d’usagers.
Authy, l’application de Twilio consacrée à l’authentification à deux facteurs, a été victime d’une cyberattaque. Dans un communiqué publié sur son site, l’entreprise américaine indique que des attaquants ont été « en mesure d’identifier les données associées aux comptes Authy, y compris les numéros de téléphone » en exploitant une interface de programmation d’application non sécurisée.
En miroir de Google Authenticator, Authy génère des codes de connexion dans le cadre d’un système d’authentification à deux facteurs. Ce mécanisme permet d’améliorer la sécurité des comptes en ligne en ajoutant une couche de protection. L’authentification double facteurs met des bâtons dans les roues des cybercriminels, bien que les hackers aient développé des tactiques pour contourner le mécanisme.
Que s’est-il passé chez Authy ?
En exploitant la faille d’Authy, des hackers ont réussi à compiler une liste de numéros de téléphone appartenant aux utilisateurs d’Authy. Comme le rapporte Bleeping Computer, un cybercriminel notoire, qui se fait appeler ShinyHunters, s’est servi d’une autre fuite de données pour confirmer que les numéros étaient enregistrés sur Authy. Cette opération reposait sur l’exploitation de la vulnérabilité confirmée par Twillio.
Concrètement, le pirate a comparé les numéros en sa possession avec les numéros répertoriés dans les systèmes d’Authy. Le cybercriminel a ainsi pu déterminer quels numéros sont bien enregistrés chez Authy. Si le numéro de téléphone était répertorié, le point de terminaison à l’origine de la faille renvoyait des informations sur les comptes associés enregistrés chez Authy.
Après avoir réussi l’opération, ShinyHunters a publié les données de 33 millions de numéros de téléphone enregistrés sur Authy sur un forum criminel. Il s’agit vraisemblablement de BreachForums, le forum administré par ShinyHunters et considéré comme l’Amazon de la cybercriminalité. Les données comprennent tous les numéros enregistrés, l’identifiant du compte Authy, l’état du compte et le nombre d’appareils reliés à celui-ci.
Notez que ShinyHunters est également derrière la fuite des données de TicketMaster, la billetterie en ligne. Originaire de France, le gang ShinyHunters inonde les plateformes criminelles, y compris sur le dark web, de données compromises depuis 2020.
Les dangers engendrés par le hack
Cette information, en apparence anodine, permet aux hackers de mieux calibrer leurs cyberattaques. Ils savent qu’il est plus facile de berner ces numéros en se faisant passer par Authy par exemple. Les numéros sont plus vulnérables aux attaques de phishing par SMS. Combinée à d’autres informations en fuite, la liste des numéros représente un sérieux danger en matière de cybersécurité.
Par ailleurs, les hackers peuvent être plus tentés de déployer une attaque de type SIM Swap sur les numéros répertoriés. En piratant un numéro de téléphone enregistré chez Authy, un pirate obtiendra un accès à une panoplie de comptes sécurisés avec l’authentification double facteurs. Il lui suffira de récolter tous les codes de connexion pour pénétrer sur des dizaines de comptes différents. In fine, le hack revient à peindre une cible dans le dos des utilisateurs d’Authy.
Twillio indique avoir « pris des mesures » pour sécuriser le point de terminaison non sécurisé et « ne plus autoriser les demandes non authentifiées ». Par ailleurs, la firme assure n’avoir aucune preuve que d’autres données sensibles, comme les noms par exemple, ont été exfiltrées par des hackers. Par précaution, Twillio recommande à tous ses usagers d’installer les dernières mises à jour de sécurité de l’application, que ce soit sur Android ou iOS.
La société américaine a déjà été dans le collimateur des cybercriminels à plusieurs reprises par le passé. Il y a deux ans, Twillio avait indiqué que des attaquants étaient parvenus à dérober des données sur ses utilisateurs en pénétrant dans ses systèmes.
source: 01net