Le cofondateur d’un service message texte pour l’authentification à deux facteurs de Twitter (2FA) aurait secrètement vendu l’accès à ses réseaux aux gouvernements, leur permettant de localiser des personnes d’intérêt – et dans certains cas d’obtenir leurs journaux téléphoniques …
Twitter Inc. a déclaré à un sénateur américain qu’il coupait les liens avec une société technologique européenne qui l’avait aidée à envoyer des codes d’accès sensibles à ses utilisateurs par SMS.
La société de médias sociaux a déclaré dans une divulgation au sénateur américain Ron Wyden, un démocrate de l’Oregon, qu’elle « faisait la transition » de son service de travailler avec Mitto AG, selon un assistant de Wyden.
La société, Mitto AG, a été utilisée par Twitter pour envoyer des messages texte en son nom, y compris des codes de sécurité utilisés pour l’authentification à deux facteurs (2FA).
Twitter dit qu’il est en train de « s’éloigner » des services de cette entreprise, mais ne semble pas avoir complètement cessé de les utiliser pour le moment.
Un cofondateur de Mitto exploitait un service qui aidait les gouvernements à surveiller et à suivre secrètement les téléphones portables, selon d’anciens employés et clients, comme l’ont rapporté Bloomberg News et le Bureau of Investigative Journalism basé à Londres en Décembre 2021. Twitter a cité les reportages des médias comme le facteur de motivation derrière sa décision, a déclaré l’assistant de Wyden.
Plusieurs autres entreprises auraient déjà coupé les liens avec Mitto. Ces dernières semaines, les sociétés de messagerie Kaleyra et MessageBird ont toutes deux cessé leurs relations commerciales avec Mitto, selon trois personnes proches du dossier.
Un représentant de Twitter a refusé de commenter. Un porte-parole de Mitto, basé à Zoug, en Suisse, a déclaré dans un communiqué envoyé par courrier électronique que :
Mito ne divulgue aucune information sur ses partenaires commerciaux, par aucun canal – officiel ou non officiel – point final.
En règle générale, ces accords sont de nature mutuelle, les deux parties acceptant de protéger la vie privée et l’intégrité de l’autre.
Mitto travaille avec des entreprises de télécommunications de premier plan pour transmettre des messages texte en vrac à des milliards de téléphones à travers le monde, selon son site Web et ses documents promotionnels. Mitto envoie des messages texte automatisés pour des choses telles que les promotions des ventes, les rappels de rendez-vous et les codes de sécurité à deux facteurs nécessaires pour se connecter à des comptes en ligne.
Cependant, la cofondatrice et directrice de l’exploitation de Mitto, Ilja Gorelik, aurait également vendu l’accès aux réseaux de Mitto pour localiser secrètement les gens via leurs téléphones mobiles et, dans certains cas, obtenir leurs journaux d’appels, a rapporté Bloomberg.
L’entreprise Mitto aurait également impliqué l’exploitation des faiblesses d’un protocole de télécommunications connu sous le nom de SS7, ou Signaling System 7, une sorte de standard téléphonique pour l’industrie mondiale des télécommunications.
Un représentant de Mitto avait précédemment déclaré que la société n’était impliquée dans aucune activité de surveillance et avait lancé une enquête interne « pour déterminer si notre technologie et nos activités avaient été compromises » et prendrait des mesures correctives si nécessaire. Les représentants de Mitto auraient informé certains clients que Gorelik n’était plus impliqué dans l’entreprise.
C’est encore une autre raison d’éviter d’utiliser la messagerie texte pour les 2FA. Utilisez toujours le support 2FA d’Apple ou une application tierce comme Google Authenticator, chaque fois que vous en avez l’option. Si une entreprise n’offre que la messagerie texte, la fonction de remplissage automatique d’Apple réduit au moins les risques.
Si vous avez activé l’authentification à deux facteurs (2FA) par SMS et que vous êtes toujours connecté à votre compte, et que vous rencontrez des problèmes vous pouvez supprimer votre téléphone de vos paramètres mobiles sur twitter.com en cliquant sur “Supprimer mon téléphone” pour désactiver cette fonction.
Vous pouvez aussi remplir le formulaire désigné ici et un membre de l’équipe Twitter vous contactera dans les plus brefs délais.
Vous devez être connecté pour poster un commentaire.