Lorsque nous tentons de nous connecter à un compte, nous avons souvent l’habitude de recevoir des codes de confirmation par SMS. Ces codes sont destinés à servir d’authentification à deux facteurs (2FA), permettant ainsi de confirmer notre identité et de prévenir l’accès non autorisé à nos comptes. Toutefois, la question se pose : qui gère réellement ces codes SMS et sont-ils réellement fiables ?
Des révélations inquiétantes sur les codes SMS
Des enquêtes menées par Bloomberg et Lighthouse Reports mettent en lumière les problèmes de sécurité associés aux codes d’authentification envoyés par SMS. Ces investigations, soutenues par des informations provenant d’un lanceur d’alerte dans le secteur des télécommunications, révèlent que ces messages sont souvent traités par des tiers, remettant en question leur sécurité.
Fink Telecom Services : Une entreprise controversée
Contrairement à ce que l’on pourrait penser, ces messages ne sont pas toujours traités directement par les entreprises ou sites web concernés. Au contraire, une société suisse, Fink Telecom Services, joue un rôle central dans ce processus. Selon des rapports, cette entreprise aurait des liens avec des agences de renseignement gouvernementales et des sous-traitants de la surveillance.
Bloomberg souligne que « des chercheurs en cybersécurité et des journalistes d’investigation ont publié des rapports alléguant l’implication de Fink dans de multiples cas d’infiltration de comptes privés en ligne ». Les analyses ont révélé que des entreprises technologiques majeures telles que Google, Meta et Amazon, ainsi que de nombreuses banques européennes et des applications populaires, avaient recours à Fink pour l’envoi de ces codes.
Le marché des titres globaux
Il est légitime de se demander pourquoi les entreprises choisissent de confier leurs codes d’authentification à un fournisseur dont la réputation est douteuse. Les raisons sont souvent pratiques et économiques. Les prestataires externes, comme Fink Telecom, peuvent traiter ces messages à un coût réduit et avec plus d’efficacité, en particulier lorsqu’ils interagissent avec une clientèle mondiale.
Fink profite d’une infrastructure de « titres globaux », permettant aux opérateurs de communiquer à l’échelle internationale, donnant ainsi l’illusion d’une présence locale. Cependant, cette pratique soulève des préoccupations concernant la sécurité des données.
Des risques bien réels
Malgré la commodité de l’externalisation, cette méthode entraîne des menaces potentielles. L’autorité britannique Ofcom a récemment interdit la location de titres globaux, soulignant les dangers pour les utilisateurs de téléphones mobiles. Dans une déclaration à Bloomberg, le PDG de Fink Telecom, Andreas Fink, a tenté de défendre son entreprise en affirmant qu’ils ne s’immiscent pas dans le trafic de leurs clients.
Des acteurs majeurs comme Google, Meta et Signal ont affirmé ne pas travailler directement avec Fink, avec Google annonçant même l’abandon des SMS pour l’authentification.
Alternatives aux codes SMS
Le problème des SMS pour l’authentification reste cependant : ils ne sont pas chiffrés de manière adéquate, ce qui les rend peu sûrs pour l’échange de codes d’authentification. Les entreprises doivent donc envisager des méthodes plus sécurisées.
Les utilisateurs sont encouragés à éviter l’option SMS lors de la configuration de l’authentification à deux facteurs. Il est préférable d’utiliser une clé de sécurité physique ou une application d’authentification comme Microsoft Authenticator ou Google Authenticator. Ces solutions offrent une protection accrue grâce à des codes qui changent toutes les 30 secondes et sont générés directement sur l’appareil de l’utilisateur.