Le site américain Reddit a été victime d’un piratage qui a compromis de nombreuses informations utilisateurs (e-mails, mots de passe, messages privés). Une interception de SMS envoyés aux employés pour une double authentification a permis aux cyber-attaquants d’accéder à ces données.
Peu connu du grand public français, Reddit est un site extrêmement populaire aux Etats-Unis : il a été victime d’un piratage, entre le 14 et le 18 juin 2018. Des hackers ont compromis les comptes de certains employés de la société, en interceptant des SMS envoyés pour assurer une double authentification : les pirates disposant déjà des mots de passe associés aux comptes en question, y accéder a été un jeu d’enfant pour eux.
Une ancienne sauvegarde contenant de nombreuses données personnelles
Ce hack leur a permis d’accéder en lecture seule à une foule de données, du code source, des logs internes, des adresses e-mail et surtout une ancienne sauvegarde contenant des noms d’utilisateurs, des mots de passe et des messages privés.
Le directeur des nouvelles technologies du site américain, Christopher Slowe, a reconnu que le piratage était sérieux, mais que le coeur du site n’avait pas été compromis, et que Reddit était toujours « intègre ».
Reddit échaudé par l’utilisation de la double authentification par SMS
Le site a publié une page dédiée, sur laquelle ses utilisateurs peuvent vérifier si leurs comptes ont été touchés par le vol de données. Reddit a d’ailleurs réinitialisé les mots de passe des utilisateurs dont le compte a été compromis et va les informer directement sur la démarche à suivre pour mieux se protéger.
Cette affaire illustre à merveille les limites de l’utilisation de SMS, dans le cadre de l’authentification à deux facteurs, jugée peu sécurisée par de nombreux experts en sécurité. Reddit encourage d’ailleurs désormais ses utilisateurs à utiliser le système des tokens, qui permet à votre téléphone de générer un code unique via une application.
`