Recevoir un code par SMS pour confirmer une connexion semble être une bonne pratique (2FA). Mais cette méthode repose sur une infrastructure obsolète, vulnérable à l’interception, au piratage et à la surveillance. Le réseau SS7, utilisé pour router ces messages, est notoirement exploité par des cybercriminels. Or, ce système est également la clé de voûte de prestataires comme Fink Telecom.
Fink Telecom : un acteur controversé au cœur du système
Selon des documents obtenus par Bloomberg et Lighthouse Reports, Fink Telecom Services ne se contente pas de relayer des SMS. L’entreprise aurait coopéré avec des agences de renseignement et des sociétés de surveillance pour espionner des téléphones et suivre des individus. Des millions de données ont été analysées, révélant que des codes de connexion pour des services comme Google, Meta, Amazon, Signal, WhatsApp, Binance, Tinder et même des banques européennes ont transité par leurs infrastructures.
Interrogé, le PDG Andreas Fink réfute toute implication illégale : son entreprise, dit-il, fournit uniquement des services de signalisation et de routage sans analyser les contenus. Il affirme que ses activités sont conformes aux régulations suisses et internationales. Pourtant, le passé de Fink et ses connexions avec des acteurs du renseignement nourrissent la méfiance.
Une externalisation à haut risque
Pourquoi les grandes entreprises dépendent-elles de prestataires externes comme Fink ? Pour des raisons économiques et techniques. Gérer l’envoi de SMS à l’échelle mondiale est coûteux et complexe. Des sociétés spécialisées disposant de “titres globaux” (global titles) peuvent simuler une présence locale dans plusieurs pays, facilitant les échanges.
Les « Global Titles » sont des adresses réseau uniques utilisées dans la signalisation télécom. Ils fonctionnent comme des numéros, mais sont attribués à des nœuds réseau, et non à des appareils. Ils permettent le routage des messages de signalisation (appels, SMS), l’authentification des abonnés en itinérance (roaming) et l’interopérabilité entre opérateurs à l’échelle mondiale.
Fink Telecom a ainsi utilisé des adresses réseau basées en Suisse, au Royaume-Uni, en Namibie et même en Tchétchénie. Une pratique tolérée jusqu’à récemment : en avril, le régulateur britannique Ofcom a interdit la location de ces titres aux opérateurs locaux, pointant un danger pour les utilisateurs.
Les géants de la tech sur la défensive
Face aux révélations, Google, Meta, Signal et Binance ont affirmé ne pas travailler directement avec Fink. Google précise même qu’il abandonne progressivement l’authentification par SMS. Meta affirme avoir alerté ses partenaires pour qu’ils évitent tout lien avec Fink Telecom. Signal, de son côté, renforce ses options pour contourner les failles liées aux SMS.
Malgré ces réactions, le constat reste alarmant : une part importante des messages de vérification repose sur une chaîne d’intermédiaires peu transparents, dont certains pourraient être compromis.
Des alternatives plus sûres existent
L’heure est à la prudence. Si vous souhaitez réellement sécuriser vos comptes, évitez les SMS pour la double authentification. Plusieurs méthodes plus robustes sont disponibles :
- Les applications d’authentification comme Google Authenticator ou Microsoft Authenticator génèrent localement des codes temporaires, sans transiter par les réseaux mobiles.
- Les clés de sécurité physiques offrent une protection maximale contre les attaques à distance.
- Les passkeys, quand elles sont disponibles, permettent de se connecter sans mot de passe, en utilisant une reconnaissance biométrique ou un code PIN local.
Ces options restent encore peu généralisées, mais elles représentent l’avenir d’une sécurité numérique plus fiable. En attendant, chaque utilisateur peut agir en optant pour des méthodes de 2FA plus sûres et en refusant de se reposer sur le maillon faible que sont devenus les SMS.
