Reddit alerte ses abonnés que les comptes informatiques appartenant à des membres du personnel ont été compromis, malgré une authentification à double facteur basée sur un envoi de SMS. Cette compromission aurait mis en danger les données de certains des usagers.
Les méthodes de détournement de SMS sont nombreuses, et vont de la simple attaque Bluetooth qui ouvre l’accès à l’espace de stockage des messages (un classique vieux de 20 ans), à une foultitude de compromissions « man in the middle » reposant soit sur des appliquettes Android corrompues, soit sur des vols de cartes SIM auprès de l’opérateur télécom (via une usurpation d’identité de la victime), soit sur des redirections d’appels… la liste s’allonge chaque jour.
La magie des termes « authentification à double-ou triple-facteurs » donne généralement bonne conscience et permet de vendre de la confiance à des usagers sans pour autant investir le moindre centime dans un véritable renforcement des procédures d’identification. L’empilement des « couches de sécurité » n’est efficace que lorsque cette succession de protections est cohérente et ne repose pas déjà sur un système faillible. Le double facteur renforce, il ne « bouche » pas, il ne se substitue pas.
Fort heureusement, Reddit n’est pas une banque, mais le risque de piratage des comptes d’usagers n’est pas à négliger.