Sécurité

Reddit piraté avec interception des SMS de connexion en deux étapes

Une autre raison pour laquelle l’authentification en deux étapes par SMS est une mauvaise idée : Reddit a rapporté mercredi (1er) qu’elle a subi une attaque de pirates informatiques entre le 14 et le 18 juin, qui a entraîné un accès inapproprié à une ancienne sauvegarde avec des hachages de mots de passe, des noms d’utilisateur, des adresses électroniques et les publications du site. Selon Reddit, l’attaque principale s’est faite par interception de SMS.

Reddit indique que toutes les données jusqu’en mai 2007 ont été consultées, c’est-à-dire qu’elles concernaient les premiers utilisateurs du site, qui a été lancé en 2005. Selon Reddit, ?un attaquant a compromis les comptes de certains de nos employés en leur donnant accès à des services en nuage et à l’hébergement du code source. Le pirate a également obtenu des droits de lecture sur les fichiers de configuration du serveur, les journaux internes et les documents de travail des employés.

Ayant déjà notre code principal et les points d’accès de l’infrastructure derrière une authentification forte qui nécessite une authentification à deux facteurs (2FA), nous avons appris que l’authentification par SMS n’est pas aussi sûre que nous le pensions, et la principale attaque a été l’interception des SMS. Nous avons insisté sur ce point pour encourager tout le monde ici à passer à la 2FA ? à base de jetons, explique M. Reddit.

  Après le suicide d'une fille, Ask.fm promet des actions pour prévenir la cyberintimidation

Comme nous l’avons déjà expliqué, le réseau SS7 (Signaling System 7), qui est utilisé pour gérer les appels téléphoniques et les SMS, a connu des défaillances et peut être à l’origine d’une attaque sur un compte ? en particulier dans les services qui envoient encore des codes de récupération par SMS. Il est donc recommandé de supprimer votre numéro de téléphone portable et d’activer l’authentification par jeton en deux étapes (grâce à des applications comme Google Authenticator et Authy) sur les services que vous utilisez.

Quant à Reddit, tous les utilisateurs qui ont été touchés par l’attaque sont avertis par courrier électronique ou par message privé, et l’entreprise a déjà alerté les autorités de l’invasion.

A propos de l'auteur

Ronan

Le Breton de l'équipe ! Développeur back-end dans une startup française. Internet des objets, domotiques, mes sujets de prédilection sont vastes. #teamLinux sur PerlmOl

Laisser un commentaire