Beaucoup pensent que l’authentification à double facteur par SMS est une solution efficace contre le piratage, les éditeurs du site Reddit ne font plus partie de cette catégorie et ont compris à leurs dépends que ce dispositif de sécurité, n’était pas si fiable que cela.
Reddit s’est fait pirater malgré l’authentification à double facteur par SMS
Le site Reddit a en effet été victime d’un piratage début août et d’après les responsables de la plateforme, la copie d’une base de données contenant des adresses mail et des mots de passe datant d’avant 2008. Plutôt de vieux comptes inutilisés ou d’utilisateurs des premiers jours. On sait aussi que des logs de newletters datées du 03 au 17 juin 2018 ont aussi été récupérés par les pirates.
Alors comment les hackers ont ils réussi cet exploit ? Tout simplement en trompant le système d’authentification à double facteur par SMS de comptes d’employés. Ce systéme de sécurité est trés utilisé et consiste à renseigner ces identifiants ou à exécuter une action, qu’après avoir validé la réception d’un SMS.
Reddit a indiqué : « Un attaquant a compromis quelques uns des comptes de nos employés. Alors que nos principaux points d’accès pour le code et l’infrastructure sont protégés par une authentification forte exigeant l’authentification double facteur, nous avons appris à nos dépends que l’authentification reposant sur l’envoi de SMS n’est pas aussi sécurisée que nous l’espérions ».
Reddit a pris l’initiative d’avertir les utilisateurs présents dans ses bases de données par mail, afin de les inviter à changer de mot de passe. Si vous recevez un mail de ce genre et que vous avez recu un mail de la plateforme sans en tenir compte, il est important d’y prêter attention.
