« Dans le monde du numérique, même les SMS peuvent se perdre sur le chemin. » Imaginez un peu : une compagnie technologique, véritable autoroute des SMS à travers le globe, oublie la petite fenêtre de sa base de données grande ouverte, laissant s’envoler au vent des codes d’accès uniques. Un peu comme laisser sa maison ouverte en partant en vacances, mais à l’échelle d’Internet !
La compagnie en question, YX International, spécialisée dans la magie noire des télécommunications – ou, pour les moldus, la fabrication d’équipement de réseau cellulaire et la redirection de SMS –, s’avère être une sorte de facteur ultra moderne, distribuant quelques 5 millions de textos quotidiennement. Leur truc ? Faire en sorte que votre précieux code de sécurité pour TikTok atterrisse bien dans votre téléphone et non dans celui de votre voisin.
Mais voilà, même les facteurs les plus aguerris peuvent faire des bourdes. YX International a laissé une de ses bases de données prendre un petit air, sans mot de passe, exposant au premier passant armé d’un navigateur web les données sensibles qu’elle contenait. C’est ce qu’on appelle un « laisser-aller » dans le jargon technique.
« Hand in the cookie jar », comme diraient nos amis Anglais – ou « main dans le sac de cookies », pour les fans de friandises et de sécurité informatique.
Heureusement, Anurag Sen, chevalier blanc de la sécurité informatique, a découvert cette base de données à la dérive. Sa quête : prévenir les terriens de la fuite de leurs précieux SMS, contenant petits mots doux, codes uniques, et liens de réinitialisation de mot de passe pour des géants comme Facebook, WhatsApp, Google, TikTok, et autres.
Les messages dataient de juillet 2023, et la base de données grossissait à vue d’œil – une sorte de bébé monstre numérique qui ne cesse de manger. Pendant ce temps, YX International répondait à la presse avec un peu trop de mystère, un « on a colmaté la brèche » vague et mystérieux.
L’ironie de l’histoire ? L’authentification à deux facteurs, vantée comme le Saint-Graal de la sécurité en ligne, reposait ici sur les frêles épaules des SMS, connus pour être aussi solides qu’un château de sable face à la marée. Et dans cette fuite, c’était un peu comme si la marée avait décidé de venir plus tôt.
La morale de cette aventure digitale ? Même les grands noms de la tech peuvent laisser traîner des fenêtres ouvertes. Et comme souvent, le danger vient moins de l’outil que de l’utilisation qu’on en fait. Après tout, qui aurait cru qu’un simple SMS puisse faire trembler l’univers des comptes en ligne ?
Source : Techcrunch