Les services d'authentification sont particulièrement pratiques du point de vue de la sécurité et sont essentiels pour accéder à l'authentification à deux facteurs à chaque fois qu'une connexion est demandée. Mais que faire si c'est le service d'authentification lui-même qui n'est pas sécurisé ? Ce fut le cas d' Authy , un service présent sur Android, iOS et PC depuis plusieurs années et géré par Twilio . Authy a été victime d'une faille majeure dans ses serveurs, entraînant un accès non autorisé aux comptes utilisateurs enregistrés. Authy a donc été victime d'une violation de données , c'est à dire d'une violation des comptes de ses utilisateurs. L'accès non autorisé a permis aux pirates informatiques d'accéder aux informations personnelles des utilisateurs enregistrés. Le plus grave est que ces pirates se sont emparés des numéros de téléphone des utilisateurs , informations évidemment sensibles. Comment ont-ils piraté Authy ? La cause semble avoir été un point de terminaison d'API non sécurisé sur les serveurs Twilio, la société qui gère Authy. Le communiqué de presse a été publié le 1er juillet et la société a également pris des mesures pour corriger la faille de sécurité en publiant une mise à jour. Il s’agit là d’un aspect mineur, car les utilisateurs impliqués dans la violation de données ont désormais été touchés et les numéros de téléphone divulgués sont désormais en possession des auteurs de l’attaque. Selon le communiqué publié, jusqu'à 33 millions d'utilisateurs seraient concernés. Cela signifie que potentiellement 33 millions de numéros de téléphone personnels se sont retrouvés entre de mauvaises mains.

Les utilisateurs concernés par la violation de données devraient être inquiets . Le fait que votre numéro personnel se retrouve entre de mauvaises mains pourrait avoir des conséquences malheureuses. Les pirates pourraient en effet essayer de transférer le numéro de téléphone vers une autre carte SIM , puis l'utiliser pour faire ce qu'ils veulent avec, potentiellement même des opérations illégales. De même, les pirates pourraient vendre ces informations (c’est-à-dire les numéros de téléphone qu’ils ont volés). Et cela pourrait conduire à des tentatives de spam , de phishing et d'escroquerie . Si vous êtes un utilisateur Authy et que votre numéro de téléphone est tombé entre de mauvaises mains, alors nous vous suggérons de protéger l'accès à la SIM et à votre numéro. En plus du code de déverrouillage qui est demandé au démarrage de l'appareil, nous vous suggérons de contacter votre opérateur pour vous assurer qu'un changement de SIM n'a pas été demandé . En clair, avoir un numéro de téléphone ne suffit pas pour demander le transfert vers une deuxième SIM. D'autres informations personnelles certifiant l'identité du demandeur sont également nécessaires. Cependant, ceux-ci pourraient être trouvés par d’autres moyens, car peut-être ont-ils été victimes d’autres violations de données sur d’autres services. Par ailleurs, nous vous suggérons d’être particulièrement prudent face aux éventuelles tentatives d’arnaque de la part de ceux qui possèdent votre numéro de téléphone et qui pourraient vous contacter avec des demandes étranges. Dans tous les cas, nous vous suggérons de mettre à jour l'application Authy sur votre smartphone dès que possible , afin que vous disposiez de la dernière version intégrant le correctif de la faille de sécurité à l'origine de tout cela.