Une base de données omise et c’est 26 millions de SMS à la vue de tous

Et là, c’est le drame. Une société californienne de télécommunications a tout bonnement laissé une base de données (BDD) et des millions de SMS exposés sur le net.

Le serveur mis en cause appartient à la société Vovox, située à San Diego, en Californie. C’est TechCrunch qui a donné l’alerte, mais le mal était fait. Les répercussions ont certainement pu aller bien au delà de la simple découverte de votre prochain rendez-vous chez l’esthéticienne.

Des SMS à visages découverts

Aujourd’hui, bon nombres d’entreprises utilisent le SMS pour des raisons de sécurité qui leurs sont propres. Une clé peut être envoyée pour réinitialiser votre mot de passe ou vous demander une authentification, appelée authentification à deux facteurs : une partie via votre mot de passe, l’autre via un code reçu par texto. C’est là qu’intervient Vovox qui joue alors le rôle d’entremetteurs entre l’entreprise commanditaire et l’opérateur mobile, afin que le message puisse être envoyé. C’est lors d’une recherche via le moteur de recherche Shodan que le chercheur allemand, Sebastien Kaul, a découvert que le serveur utilisé pour stocker des SMS envoyés à ses utilisateurs était en libre service. Couac pour la firme puisque aucun mot de passe n’a été mis en place sur cette BDD.

Si l’on s’arrête sur les données exposées, on remarque que les numéros de téléphones de l’ensemble des personnes ayant reçu un SMS de la société sont à la vue de tous. Le problème principal étant bien évidemment la visibilité totale sur les mots de passe à usage unique ou des codes pour réinitialiser des comptes par exemple. Une multitude d’incidents ont mis en avant les points faibles de la double authentification par SMS. Un système vendu comme sécurisant mais dont les failles peuvent être multiples. Il est donc important de savoir que cette méthode est bien évidemment contournable.

N’hésitez pas à réagir en commentaires !