Authy est l’une des applications 2FA les plus fiables, et c’est l’une de nos recommandations parmi un certain nombre d’excellentes applications 2FA. Malheureusement, tout service qui repose sur une infrastructure basée sur un serveur peut être piraté si l’attaquant est juste assez sophistiqué, et c’est exactement ce qui est arrivé à la société mère d’Authy, Twilio. Lors d’une attaque massive d’ingénierie sociale, un acteur malveillant a eu accès aux comptes des employés, compromettant à nouveau la sécurité d’Authy et d’une poignée de clients Twilio, dont LastPass.
Lisez la suite pour savoir ce qui s’est passé et comment vous pouvez mieux protéger votre propre compte Authy contre des attaques comme celles-ci.
Comment ce piratage a-t-il eu lieu ?
Twilio rapporte dans une mise à jour de statut qu’il a subi la violation le 4 août 2022. Les employés actuels et anciens ont reçu des messages texte de phishing qui semblaient presque parfaits, prétendant provenir du service informatique de Twilio et les informant qu’ils doivent réinitialiser leurs mots de passe car ils sont expiré. Un lien inclus a ensuite conduit à une fausse page de connexion qui ressemblait presque exactement à la vraie affaire de Twilio. Il semble qu’au moins une personne soit tombée dans le piège de l’attaque de phishing, car les pirates ont pu accéder aux systèmes internes de Twilio en utilisant les informations d’identification volées de quelqu’un.
La société a depuis travaillé pour déterminer quels services et clients ont été compromis et comment prévenir de futurs incidents. Parmi ces clients figurait LastPass, qui s’est fait voler des parties de son code source, mais heureusement, aucune donnée utilisateur n’a été exposée. Twilio dit qu’il a en outre mis l’accent sur sa “formation à la sécurité pour s’assurer que les employés sont en état d’alerte pour les attaques d’ingénierie sociale”.
Comment les utilisateurs d’Authy sont-ils affectés ?
Bien qu’Authy soit également touché par la faille, il ne semble pas que trop d’utilisateurs soient touchés. Il semble que les pirates aient utilisé Twilio pour une série d’attaques très ciblées, car l’équipe de sécurité a constaté que seuls 93 utilisateurs d’Authy sur 75 millions étaient touchés, les mauvais acteurs enregistrant des appareils supplémentaires sur les comptes. Ces appareils non autorisés ont depuis été supprimés de leurs comptes et les utilisateurs concernés ont tous été contactés par l’entreprise.
Comment pouvez-vous sécuriser votre compte Authy ?
Authy recommande une solution simple qui empêche l’ajout d’appareils non autorisés. Si vous utilisez Authy, vous devez d’abord configurer l’application sur un ou deux appareils de sauvegarde tels que votre ordinateur portable ou votre tablette, puis désactiver “Autoriser plusieurs appareils” dans l’application. Unités paramètres sur n’importe lequel de vos appareils.
Cela empêche toute personne qui ne possède pas vos appareils connectés d’ajouter d’autres appareils, y compris vous. (C’est pourquoi il est si important d’avoir des périphériques de sauvegarde – sinon, retrouver l’accès si le téléphone est volé ou perdu sera un gros problème, mais pas impossible.) Lorsque vous souhaitez ajouter de nouveaux périphériques, vous pouvez réactiver “Autoriser plusieurs périphériques” sur tous vos appareils connectés à tout moment.
Le hack Authy signifie-t-il que 2FA n’est pas sécurisé ?
N’oubliez pas que même si vous avez été pris au milieu de ce piratage d’Authy, vos comptes en ligne doivent toujours être sécurisés tant que votre mot de passe et l’adresse e-mail associée à votre compte ne sont pas entre les mains des pirates. Après tout, c’est exactement à cela que sert l’authentification à deux facteurs : même si l’un de vos facteurs de connexion est compromis, un mauvais acteur aura toujours besoin de l’autre facteur pour y accéder. À moins que vous ne soyez un politicien de premier plan ou une cible évidente pour les pirates, il est très peu probable que vos deux facteurs soient piratés en même temps.
Si vous êtes toujours inquiet, l’ancien élève de l’AP Ryne Hager a mentionné dans son message d’adieu il y a une semaine que la meilleure chose que vous puissiez probablement faire pour rester en sécurité en ligne est d’acheter une YubiKey ou une authentification matérielle similaire. Un pirate aurait besoin d’un accès physique aux clés matérielles pour contourner leur protection. N’oubliez pas que vous devez investir dans une clé de secours, car il peut être difficile d’accéder à vos comptes si vous perdez votre authentification principale.
Alors que Twilio enquête sur l’attaque, il est possible que nous découvrions des implications supplémentaires. Nous ne pouvons qu’espérer que le hack Authy reste aussi limité dans sa portée qu’il l’est maintenant.
