Le cofondateur d'un service d'authentification à deux facteurs de Twitter aurait secrètement vendu l'accès à ses réseaux à des gouvernements, leur permettant ainsi de localiser des cibles et, dans certains cas, d'obtenir leurs relevés téléphoniques ...
L'entreprise, Mitto AG, était utilisée par Twitter pour envoyer des SMS en son nom, notamment des codes de sécurité utilisés pour l'authentification à deux facteurs (2FA). Twitter affirme qu'il est en train d'effectuer une "transition" pour se passer des services de cette société, mais il semble qu'il n'ait pas encore complètement cessé de les utiliser.
Bloomberg explique :
Twitter Inc. a déclaré à un sénateur américain qu'il coupait ses liens avec une société technologique européenne qui l'a aidé à envoyer des codes d'accès sensibles à ses utilisateurs par SMS.
Le réseau social a déclaré au sénateur américain Ron Wyden, un démocrate de l'Oregon, qu'elle était en train d'assurer la "transition" de son service en cessant de travailler avec Mitto AG, selon un collaborateur de M. Wyden.
Un cofondateur de Mitto exploitait un service qui aidait les gouvernements à surveiller et à suivre secrètement les téléphones portables, selon d'anciens employés et des clients.
L'une des approches qui aurait été utilisée consiste à exploiter des vulnérabilités connues dans le protocole de télécommunication mobile Signaling System 7 (SS7). On sait depuis au moins 2016 que des failles de sécurité majeures dans SS7 peuvent être utilisées pour écouter vos appels, lire vos textes et suivre votre position.
La violation de la vie privée semble avoir été effectuée par le cofondateur et chef des opérations de Mitto, Ilja Gorelik, à l'insu des autres membres de l'entreprise. Un porte-parole de Mitto a déclaré que la société n'était pas impliquée et qu'elle menait une enquête. Des rapports non confirmés indiquent que Gorelik n'est plus actif au sein de la société.
C'est une raison de plus pour éviter d'utiliser les sms pour l'authentification à double facteur. Utilisez toujours le support 2FA d'Apple, ou une application tierce comme Google Authenticator, lorsque vous en avez la possibilité. Si une entreprise ne propose que les sms, la fonction de remplissage automatique d'Apple réduit au moins les risques.
source :
https://9to5mac.com/2022/02/09/twitter-2fa-text-privacy/