La face cachée des SMS de sécurité

Chaque jour, des millions d’utilisateurs se connectent à leurs comptes bancaires, réseaux sociaux ou boîtes courriel en utilisant la double authentification : un mot de passe suivi d’un code envoyé par texto. Ce code est censé renforcer la sécurité. Mais ce que la majorité ignore, c’est que ce message peut transiter par une chaîne complexe d’intermédiaires invisibles – et parfois douteux – avant d’atteindre leur téléphone.

Une enquête de Bloomberg Businessweek et de Lighthouse Reports révèle qu’une entreprise suisse méconnue, Fink Telecom Services, a routé près d’un million de messages contenant des codes 2FA en juin 2023. Ces messages, envoyés par des géants comme Google, Meta, Amazon ou Binance, sont passés par ses infrastructures. Problème : cette société et son fondateur sont liés à des activités de surveillance controversées, selon plusieurs enquêtes journalistiques et des experts en cybersécurité.

Fink Telecom affirme respecter la loi et ne pas lire les messages. Mais le simple fait qu’une société aussi petite – moins de 10 employés, puisse manipuler des communications critiques révèle un angle mort dans la chaîne de transmission. Dans l’industrie du routage SMS, les contrats se sous-traitent souvent en cascade, ce qui dilue la responsabilité et rend presque impossible pour les entreprises de savoir par qui passent réellement leurs messages.

Le manque de réglementation et la possibilité pour certaines entreprises de louer ce qu’on appelle des « titres globaux » (des identifiants réseau permettant l’envoi de messages entre pays) aggravent la situation. En avril, un régulateur britannique a même interdit à ses opérateurs de louer ces identifiants, jugeant la pratique dangereuse.

Certaines attaques ciblant des investisseurs en cryptomonnaies ou des services comme Telegram ont été attribuées à des abus de cette chaîne SMS, selon des chercheurs israéliens. Fink nie toute implication directe, tout en admettant que des partenaires techniques aient pu être liés à des groupes controversés comme Team Jorge.

La réponse des grandes entreprises ? Plusieurs affirment ne pas avoir de lien direct avec Fink. Google et Meta disent vouloir se détourner du SMS pour privilégier des solutions plus sécurisées comme les applications d’authentification ou la biométrie.

L’enjeu est clair : tant que les codes de sécurité voyageront dans un système aussi poreux, ils seront exposés. Et même si les entreprises responsables ne travaillent pas directement avec des acteurs comme Fink, l’absence de contrôle sur les sous-traitants ouvre la porte à toutes les dérives.

Source : Bloomberg

+++

Tous les jours de la semaine, du lundi au vendredi, Bruno Guglielminetti vous propose un regard sur l’essentiel de l’actualité numérique avec 120 secondes de tech.


En savoir plus sur Mon Carnet

Subscribe to get the latest posts sent to your email.

Un commentaire

Laisser un commentaire