Si vous utilisez Authy, mettez immédiatement à jour votre application. Twilio, la société de messagerie propriétaire du service d’authentification à deux facteurs, a confirmé TechCrunch Mercredi, des pirates informatiques ont piraté Twilio et acquis les numéros de téléphone portable de 33 millions d’utilisateurs.
Twilio a publié une déclaration sur son site Web confirmant également le piratage. « Twilio a détecté que des acteurs malveillants ont pu identifier des données associées aux comptes Authy, y compris des numéros de téléphone, grâce à un point de terminaison non authentifié », peut-on lire dans la déclaration. « Nous avons pris des mesures pour sécuriser ce point de terminaison et ne plus autoriser les demandes non authentifiées. »
L’entreprise a ajouté qu’il n’y avait aucune preuve que les pirates aient accédé aux systèmes ou aux données sensibles de Twilio. Mais la mise à jour vers la dernière version des applications iOS et Android (sur tous les appareils que vous utilisez) est essentielle car elles incluent de nouvelles mises à jour de sécurité.
Twilio a souligné que les comptes Authy n’étaient pas compromis. Cependant, les pirates (et toute personne avec qui ils partagent les données) pourraient « essayer d’utiliser le numéro de téléphone associé aux comptes Authy pour des attaques de phishing et de smishing ».
Si vous ne connaissez pas ce terme, le smishing est l’équivalent du phishing par SMS. Par conséquent, si vous possédez un compte Authy, soyez particulièrement prudent face aux SMS inattendus qui semblent provenir de sources fiables, en particulier Authy ou Twilio.
Rachel Tobac, experte en ingénierie sociale et PDG de SocialProof Security, a illustré TechCrunch à quoi cela peut ressembler. « Si les attaquants sont en mesure d’énumérer une liste de numéros de téléphone d’utilisateurs, alors ces attaquants peuvent se faire passer pour Authy/Twilio auprès de ces utilisateurs, augmentant ainsi la crédibilité d’une attaque de phishing sur ce numéro de téléphone », a déclaré Tobac.
« Nous encourageons tous les utilisateurs d’Authy à rester diligents et à être plus attentifs aux textes qu’ils reçoivent », a souligné Twilio.